JP2018506808A - Network data characterization system and method - Google Patents
Network data characterization system and method Download PDFInfo
- Publication number
- JP2018506808A JP2018506808A JP2017545854A JP2017545854A JP2018506808A JP 2018506808 A JP2018506808 A JP 2018506808A JP 2017545854 A JP2017545854 A JP 2017545854A JP 2017545854 A JP2017545854 A JP 2017545854A JP 2018506808 A JP2018506808 A JP 2018506808A
- Authority
- JP
- Japan
- Prior art keywords
- content
- characterization
- analyzers
- analyzer
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012512 characterization method Methods 0.000 title claims abstract description 156
- 238000000034 method Methods 0.000 title claims abstract description 96
- 238000010801 machine learning Methods 0.000 claims abstract description 32
- 230000009471 action Effects 0.000 claims abstract description 21
- 238000012800 visualization Methods 0.000 claims description 25
- 230000008569 process Effects 0.000 claims description 13
- 238000012545 processing Methods 0.000 claims description 9
- 238000012552 review Methods 0.000 claims description 9
- 230000008859 change Effects 0.000 claims description 7
- 238000013468 resource allocation Methods 0.000 claims description 2
- 230000008901 benefit Effects 0.000 abstract description 5
- 238000004458 analytical method Methods 0.000 description 38
- 238000001514 detection method Methods 0.000 description 20
- 238000013459 approach Methods 0.000 description 12
- 244000035744 Hura crepitans Species 0.000 description 9
- 230000010354 integration Effects 0.000 description 9
- 238000007726 management method Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 238000011156 evaluation Methods 0.000 description 5
- 241001377938 Yara Species 0.000 description 4
- 230000007123 defense Effects 0.000 description 4
- 239000000047 product Substances 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 238000011045 prefiltration Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 238000012384 transportation and delivery Methods 0.000 description 2
- RKMGAJGJIURJSJ-UHFFFAOYSA-N 2,2,6,6-Tetramethylpiperidine Substances CC1(C)CCCC(C)(C)N1 RKMGAJGJIURJSJ-UHFFFAOYSA-N 0.000 description 1
- RINRSJBJOGCGBE-UHFFFAOYSA-N 3,3,5,6-tetramethyl-2h-pyrazine Chemical compound CC1=NCC(C)(C)N=C1C RINRSJBJOGCGBE-UHFFFAOYSA-N 0.000 description 1
- 102100025825 Methylated-DNA-protein-cysteine methyltransferase Human genes 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000001174 ascending effect Effects 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 238000013479 data entry Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 108040008770 methylated-DNA-[protein]-cysteine S-methyltransferase activity proteins Proteins 0.000 description 1
- 230000003278 mimic effect Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000007935 neutral effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N7/00—Computing arrangements based on specific mathematical models
- G06N7/01—Probabilistic graphical models, e.g. probabilistic networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Physics & Mathematics (AREA)
- Evolutionary Computation (AREA)
- Data Mining & Analysis (AREA)
- Mathematical Physics (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Medical Informatics (AREA)
- Computational Mathematics (AREA)
- Probability & Statistics with Applications (AREA)
- Mathematical Optimization (AREA)
- Mathematical Analysis (AREA)
- Algebra (AREA)
- Pure & Applied Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
従来技術の欠点を克服する、ネットワークデータの特性評価および/または分類のためのシステムと方法の実施形態が、ここに記述される。これらおよび他の利点は、ネットワークデータ特性評価ための方法により達成される。その方法は、ネットワークイベントのうちの少なくともいくつかのイベントがコンテンツを含むネットワークイベントを受信し、データメッセージのうちの少なくともいくつかが、前記コンテンツと、イベントおよび前記コンテンツを記述しているメタデータとを含むデータメッセージに、前記受信したコンテンツを変換し、個々の分析器が署名する特定のメッセージ基準に基づいて、前記データメッセージを複数の分析器に転送し、前記1つ以上の分析器のうちのそれぞれが、前記コンテンツを特徴付けるために、データメッセージ内のコンテンツを分析する前記転送されたデータメッセージを受信し、前記1つ以上の分析器が、コンテンツが悪意のあるものという可能性、あるいは、コンテンツが悪意のあるものという予測が正しいという確実性を示す確信度パーセンテージによってコンテンツを分類する少なくとも1つのマシン学習分析器を含み、前記1つ以上の分析器の特性評価の結果を出力し、前記特性評価の結果に基づいて取るべきその後の行動を決定するために、前記出力された特性評価の結果と、複数の基準とを比較することを含む。Embodiments of systems and methods for network data characterization and / or classification that overcome the shortcomings of the prior art are described herein. These and other advantages are achieved by a method for network data characterization. The method receives a network event in which at least some of the network events include content, and at least some of the data messages include the content and metadata describing the event and the content. Converting the received content into a data message containing, and forwarding the data message to a plurality of analyzers based on specific message criteria signed by individual analyzers, of the one or more analyzers Each receiving the forwarded data message analyzing content in a data message to characterize the content, and the one or more analyzers may indicate that the content is malicious, or The prediction that the content is malicious is correct Including at least one machine learning analyzer that classifies content by a confidence percentage that indicates realness, and outputs a characterization result of the one or more analyzers to be subsequently taken based on the characterization result Comparing the output characterization result with a plurality of criteria to determine an action.
Description
関連した出願
この出願は、米国仮出願番号No.62/083,090「ネットワーク特性評価のシステムと方法」の優先権を主張し、ここに、それを参照することにより、そっくりそのまま、組み入れられる。
RELATED APPLICATION This application claims priority from US Provisional Application No. 62 / 083,090 “Systems and Methods for Network Characterization”, which is hereby incorporated by reference in its entirety.
背景
2014年に、50の世界的組織のサンプルが、63,437を超えるネットワークセキュリティ事件の内で、1,367のデータ漏洩イベントを報告した。
これらのデータ漏洩は、ネットワークセキュリティのハードウェアとソフトウェアでの重要な既存の投資を持つ組織によって、回避され、侵入され、または気づかれない別の方法で行われた、成功したサイバー攻撃を表している。
ほとんどは、マルウェア(malware)を使うこと、あるいは、ハッキング技術を使うことによって、外部のパーティーにより被害者組織に対して行われ、発見するために数ヶ月を要し、一般に、サード・パーティーから犠牲者に報告される。
会社は、「攻撃されやすい標的(soft targets)」ではなかった。
会社は、共通のネットワークセキュリティ機器と、最もよい管理手法を使用していた。
background
In 2014, a sample of 50 global organizations reported 1,367 data breach events in over 63,437 network security incidents.
These data breaches represent successful cyber attacks that were otherwise circumvented, infiltrated, or otherwise undetected by organizations with significant existing investments in network security hardware and software. Yes.
Mostly done to the victim organization by an external party, using malware or using hacking techniques, takes months to discover and is generally sacrificed by a third party Reported to the person.
The company was not a “soft targets”.
The company used common network security equipment and best management techniques.
ファイアウォール、侵入防止システム(IPS)、アンチウィルスソフトウェア、ポリシー(policy)施行(enforcement)ツール、構成(コンフィグレーション)管理ツール、データ損失防止(DLP)システムなどの現在の一式のネットワークセキュリティ製品は、ネットワークセキュリティに徹底した防御アプローチを実装することに、極めて重要な役割を果たす。
そのようなセキュリティ製品は、適切に使われた場合は、出回っている下等で悪意に満ちた活動の多くを妨げることができる。
実際には、いったんマルウェアが発見されてマルウェアの指紋が採られたら、これらのセキュリティ製品は、マルウェアを、影響を受けたシステムから取り除くために、既存の枠組を提供することによって、漏洩改善に、重要な役割を果たす。
それにもかかわらず、これらの製品/ツールは、2つの基本的なエリアを欠いている:
Current network security products such as firewalls, intrusion prevention systems (IPS), anti-virus software, policy enforcement tools, configuration management tools, data loss prevention (DLP) systems, It plays a vital role in implementing a thorough defense approach to security.
Such security products, when used properly, can block many of the lesser malicious activities on the market.
In fact, once the malware is discovered and fingerprinted, these security products can help improve leaks by providing an existing framework to remove the malware from the affected system. Play an important role.
Nevertheless, these products / tools lack two basic areas:
1. 個々のツールは、ハードウェア資源とソフトウェア資源の追加と、システムオーバーラップ(重複)のため入手可能な効率を無効にするカスタムの統合を必要とする。
2. 検出は、遅すぎて、以前に観察されたマルウェア/脅威の主体に制限されすぎて、
そのために、そのようなツールは、より最新の脅威に対して無効である。
1. Individual tools require additional integration of hardware and software resources and custom integration that negates the efficiency available due to system overlap.
2. Detection is too slow and too limited to previously observed malware / threat actors,
As such, such tools are ineffective against more modern threats.
1番目のエリアでは、伝統的な防御ツール(例えば、IPS/IDS、ポリシー施行、CM、DLPなど)と、より高度な情報分析ツールとが、ストリームアセンブリ、コンテンツ抽出、データのタグ付け、関連付け、およびワークフロー統合のための中心的な機能でオーバーラップ(重複)している。
しかし、このオーバーラップ(重複)をてこ入れする支援が得られない場合は、データ統合は、カスタムのインプリメンテーション(実行)資源を必要とする。
シームレス統合に、脅威知能供給装置と、スタンドアロンのコンポーネントと、SIEMツールとを提供するとともに、これらの中心的な機能をてこ入れする多面的な分析を可能にするために、プラットフォームが必要である。
In the first area, traditional defense tools (eg IPS / IDS, policy enforcement, CM, DLP, etc.) and more advanced information analysis tools are used to stream assembly, content extraction, data tagging, association, And overlap with the central function for workflow integration.
However, if there is no assistance in leveraging this overlap, data integration requires custom implementation (execution) resources.
A platform is needed to provide threat intelligence delivery devices, stand-alone components, and SIEM tools for seamless integration and to enable multi-faceted analysis leveraging these core functions.
2番目のエリアでは、今日のマルウェア検出エンジンは、確実性のために調整される。
署名は、特に、それらが設計されている悪意のあるソフトウェアにヒットするように、記載される。
署名ベースのシステムの欠点に対処するために、防護者(ディフェンダー)は、現在、サンドボックス(sandbox)−疑わしいファイルの行動を実行し、調査するための注意深く制御された仮想環境−を、使っている。
署名に関連するマルウェアには変化に対してより大きな回復力があるので、サンドボックスは、簡単に言うと、遅すぎて、膨大な量の企業ネットワークのトラフィックについていくことができない。
個々のファイルは、調査するために、数分かかるかもしれないので、これらのシステムは、残りが無調査で通過することを可能にするとともに、どのファイルを見るかを決めるために、前置フィルタ(pre-filters)を用いなければならない。
一般的に、それは、高価すぎるので、すべてのトラフィックを調査するために十分に大きなサンドボックスを形成することはできない。
前置フィルタは、ほとんど、ネットワーク環境において、署名が、ファイルメタデータまたは行動パターンと関連する署名ベースの検出メカニズムよりも大きくはない。
前置フィルタは、ファイルにリンクしているURLによって、企業の外の誰かから、電子メールによって送信されたファイルを探すことができる。これらの行動パターンは、ちょうど署名と同じくらい脆弱で、以前に繰り返された行動監視を必要とする。
潜在的なマルウェアの小さいサブセットだけが検査されて、多くの潜在的な脅威は手つかずであり続けている。
In the second area, today's malware detection engine is tuned for certainty.
Signatures are written specifically to hit the malicious software for which they are designed.
To address the shortcomings of signature-based systems, defenders (defenders) now use a sandbox—a carefully controlled virtual environment to perform and investigate suspicious file actions. Yes.
Because signature-related malware is more resilient to change, the sandbox is simply too slow to keep up with the vast amount of corporate network traffic.
Since individual files may take a few minutes to investigate, these systems allow the rest to pass through without investigation and pre-filter to determine which files to view. (Pre-filters) must be used.
In general, it is too expensive to form a sandbox large enough to investigate all traffic.
Pre-filters, in most network environments, have signatures that are no larger than signature-based detection mechanisms associated with file metadata or behavioral patterns.
Pre-filters can look for files sent by email from someone outside the company by URL linked to the file. These behavior patterns are just as fragile as signatures and require previously repeated behavior monitoring.
Only a small subset of potential malware is examined, and many potential threats remain untouched.
たとえ新しいマルウェアが分析のために選ばれるべきであったとしても、ほとんどのサンドボックス環境は、Windowsレジストリーへの変化のように、以前に観察された悪意のある活動を探すだけである。
新しいマルウェアの作者は、サンドボックス検出器を理解しており、また、マルウェアを実行し、サンドボックネットワーク設定を検出し、安全な実行を模倣し、サンドボックスが複製されない非常に特有な計算機構成(コンピューティングコンフィギュレーション)を設計する前に、マルウェアを数分の間眠らせることを含む検出を回避する簡単な方法を持っている。
両方のアプローチが、悪意のある署名の広域的な報告と共有によって、それらの脆弱な設計を軽減させるために試みられる。
これらの技術は、防護者に脅威を追わせておくようにし、先を見越した防御や予言的な防御に、道筋を全然提供しない。 既存の解決策は、最新の脅威に対して、遅すぎて、役に立たない。
Even if new malware should be chosen for analysis, most sandbox environments only look for previously observed malicious activity, such as changes to the Windows registry.
New malware authors understand sandbox detectors, run malware, detect sandbox network settings, mimic safe execution, and very specific computer configurations where sandboxes are not replicated ( Have a simple way to avoid detection, including sleeping the malware for a few minutes, before designing the computing configuration.
Both approaches are attempted to mitigate their vulnerable designs by widespread reporting and sharing of malicious signatures.
These techniques keep the guardian following the threat and provide no path to proactive or prophetic defense. Existing solutions are too slow and useless for the latest threats.
パラダイム・シフト(革命的な変化)が必要である。
リアルタイムで無署名に基づく技術を用いた先を見越した脅威の検索と発見が、時代遅れの署名と行動に基づいた技術を補うにちがいない。
自動化された脅威の識別は、発見年表を、月から分に、減少させるに違いない。
防御の組織の外部の誰かが、漏洩の防護者に警報を出すことを待つというよりも、攻撃が起こる前に、防護者は、攻撃の進行を阻止しなければならない。
A paradigm shift (revolutionary change) is necessary.
Proactive threat search and discovery using real-time, unsigned-based technology must supplement outdated technology based on signatures and behavior.
Automated threat identification must reduce the discovery chronology from month to minute.
Rather than waiting for someone outside the defense organization to alert the leaked guardian, the guardian must stop the attack from proceeding.
要約
従来技術の欠点を克服する、ネットワークデータの特性評価および/または分類のためのシステムと方法の実施形態が、ここに記載される。
これらおよび他の利点は、ネットワークデータ特性評価ための方法と、対応したシステムとによって達成される。
その方法は、ネットワークイベントのうちの少なくともいくつかのイベントがコンテンツを含むネットワークイベントを受信し、データメッセージのうちの少なくともいくつかが、前記コンテンツと、イベントおよび前記コンテンツを記述しているメタデータとを含むデータメッセージに、前記受信したコンテンツを変換し、個々の分析器が署名する特定のメッセージ基準に基づいて、前記データメッセージを複数の分析器に転送(ルーティング)し、前記1つ以上の分析器のうちのそれぞれが、前記コンテンツを特徴付けるために、データメッセージ内のコンテンツを分析する前記転送されたデータメッセージを受信し、前記1つ以上の分析器が、コンテンツが悪意のあるものという可能性、あるいは、コンテンツが悪意のあるものという予測が正しいという確実性を示す確信度パーセンテージによってコンテンツを分類する少なくとも1つのマシン学習分析器を含み、前記1つ以上の分析器の特性評価の結果を出力し、前記特性評価の結果に基づいて取るべきその後の行動を決定するために、前記出力された特性評価の結果と、複数の基準とを比較することを含む。
Summary Embodiments of systems and methods for network data characterization and / or classification that overcome the shortcomings of the prior art are described herein.
These and other advantages are achieved by a method for network data characterization and a corresponding system.
The method receives a network event in which at least some of the network events include content, and at least some of the data messages include the content and metadata describing the event and the content. Converting the received content into a data message including: forwarding (routing) the data message to a plurality of analyzers based on specific message criteria signed by individual analyzers, and the one or more analyzes Each of the devices receives the forwarded data message analyzing content in a data message to characterize the content, and the one or more analyzers may indicate that the content is malicious Or the assumption that the content is malicious Includes at least one machine learning analyzer that classifies content by a confidence percentage that indicates certainty that it is correct, outputs a characterization result of the one or more analyzers, and is based on the characterization result Comparing the output characterization result with a plurality of criteria to determine a subsequent action to be performed.
これらおよび他の利点は、また、ネットワークデータ特性評価ためのシステムにより達成される。
そのシステムは、1つ以上のプロセッサとメモリを含む1つ以上の特性評価センサーを備え、前記メモリは、1つ以上のプロセッサによる以下の処理の実行のための命令を含み、実行される処理は、ネットワークイベントのうちの少なくともいくつかのイベントがコンテンツを含むネットワークイベントを受信し、データメッセージのうちの少なくともいくつかが、前記コンテンツと、イベントおよび前記コンテンツを記述しているメタデータとを含むデータメッセージに、前記受信したコンテンツを変換し、個々の分析器が署名する特定のメッセージ基準に基づいて、前記データメッセージを複数の分析器に転送(ルーティング)し、1つ以上のマシン学習分析器のそれぞれが、前記コンテンツを特徴付けるために、データメッセージ内のコンテンツを分析する前記転送されたデータメッセージを受信し、前記1つ以上のマシン学習分析器が、コンテンツが悪意のあるものという可能性、あるいは、コンテンツが悪意のあるものという予測が正しいという確実性を示す確信度パーセンテージによってコンテンツを分類する少なくとも1つのマシン学習分析器を含み、前記1つ以上のマシン学習分析器の特性評価の結果を出力し、前記特性評価の結果に基づいて取るべきその後の行動を決定するために、前記出力された特性評価の結果と、複数の基準とを比較することである。
特性評価センサーは、記述されたタスクを実行することに特殊化された特別にプログラムされたコンピュータでもよい。
These and other advantages are also achieved by a system for network data characterization.
The system includes one or more characterization sensors including one or more processors and a memory, the memory including instructions for performing the following processes by the one or more processors, Data in which at least some of the network events receive a network event that includes content, and at least some of the data messages include the content and metadata describing the event and the content Converts the received content into a message and forwards (routes) the data message to multiple analyzers based on specific message criteria signed by individual analyzers, and includes one or more machine learning analyzers Each contains a container in the data message to characterize the content. Certainty that the one or more machine learning analyzers have received the forwarded data message to analyze the content, and that the probability that the content is malicious or that the prediction that the content is malicious is correct Including at least one machine learning analyzer that categorizes content by a confidence percentage that indicates a subsequent characterization result of the one or more machine learning analyzers to be taken based on the characterization result In order to determine the action, the output characteristic evaluation result is compared with a plurality of criteria.
The characterization sensor may be a specially programmed computer specialized to perform the described task.
図面の簡単な説明
ネットワークデータの特性評価および/または分類のシステムと方法の実施形態は、以下の図面と連携して、理解され、記載される:
詳細な説明
ここでは、ネットワークデータ特性評価および/または分類のシステムと方法の実施形態が、記載される。
実施形態は、コンテンツが悪意のあるものか、疑わしいものか、あるいは、安全/信頼されるものかどうかを含み、受信されたネットワークコンテンツを特性化あるいは分類するために、考慮される。
実施形態は、高機能で開かれたサイバー知能プラットフォームであって、高度な脅威への反応を、自動的に検出し、分析し、促進するサイバー知能プラットフォームを含む。
プラットフォームは、最もきびしいネットワーク環境を取り扱うことができ、大量のデータをふるいにかけることができ、既存のネットワークセキュリティツールが見つけ損なったマルウェアを見つけるために、高精度で、脆弱でなく、回復力のある分析を利用することができる。
プラットフォームの実施形態は、企業資産を保護し、既存のサイバーセキュリティツールと容易に調和させるために、マシン学習テクニックを実装する。
プラットフォームは、余分なハードウェアを必要とせずに、大企業を防御するように拡張(スケール)することができる。
実施形態は、リアルタイムに近いライン速度で実行される。
分析者が、個々のイベントを検査し、より大きいイベントの状況のために、個々のイベントと、統合されたリアルタイムの知能プロバイダーとを関係づけるようにするとともに、サイバー知能プラットフォームは、サイバーセキュリティ管理者が、動的に、分析者の作業負荷と、脅威検出の閾値を調整することができるようにする。
DETAILED DESCRIPTION Embodiments of network data characterization and / or classification systems and methods are described herein.
Embodiments are considered for characterizing or classifying received network content, including whether the content is malicious, suspicious or secure / trusted.
Embodiments include a sophisticated and open cyber intelligence platform that automatically detects, analyzes, and facilitates response to advanced threats.
The platform can handle the most demanding network environments, sift through large amounts of data, and be accurate, non-fragile and resilient to find malware that existing network security tools have missed An analysis can be used.
Platform embodiments implement machine learning techniques to protect corporate assets and easily harmonize with existing cyber security tools.
The platform can be scaled to protect large enterprises without the need for extra hardware.
Embodiments are performed at near real-time line speeds.
Analysts examine individual events and ensure that individual events are associated with an integrated real-time intelligence provider for larger event situations, while cyber intelligence platforms are cyber security managers. Allows the analyst's workload and the threat detection threshold to be adjusted dynamically.
ネットワークデータ特性評価のシステムと方法の実施形態は、非常に小さい待ち時間を持つ単一の2Uサイズの電気器具(アプライアンス)上で、最大10Gbpsまでのラインスピードで、高いマルウェア検出精度を達成するために、新しく先を見越したアプローチを用いる。
実施形態は、単に、署名または他の静的な脅威特性だけに依存してはいない。
むしろ、ここでは、マシン学習と実装された他の高度なテクニックを使用することが、最新で急速に変化する脅威に対して、効果的であることを記載した。
サイバー知能プラットフォームは、ファイル分析の枠組、リアルタイムに近いワークフロー統合のためのストリーミング分析(「サイバー時間」)、リアルタイムの知能相互関係、付加的なコンテンツ処理のためのポスト分析器、および、システム統合のために転送(ルーティング)されるユーザー定義可能なアウトプットイベントを提供する。
実施形態は、他のテクノロジーと協力して動作し、知能供給装置、分析ツール、およびSIEMコンソールと容易に結合(インタフェース)させることによって、知能分析を強化する。
Embodiments of network data characterization systems and methods to achieve high malware detection accuracy on line speeds up to 10 Gbps on a single 2U sized appliance with very low latency Use a new and proactive approach.
Embodiments do not rely solely on signatures or other static threat characteristics.
Rather, we have described here that using machine learning and other advanced techniques implemented is effective against the latest and rapidly changing threats.
The cyber intelligence platform includes a file analysis framework, streaming analysis for near real-time workflow integration (“cyber time”), real-time intelligence interaction, post-analyzer for additional content processing, and system integration. Provides user-definable output events that are forwarded (routed) for
Embodiments enhance intelligence analysis by working in concert with other technologies and easily interfacing with intelligence delivery devices, analysis tools, and SIEM consoles.
ネットワークデータ特性評価のシステムと方法の実施形態の新しい技術の可能性は、次のものを含む:
1. ライン速度のファイル分析の枠組、リアルタイムの脅威と知能の供給相互関係、付加的なコンテンツ処理のためのポスト分析器、および、システム統合のために転送(ルーティング)されるユーザー定義可能なアウトプットを持つサイバー知能プラットフォーム;および
2. 分析に基づく革新的なマシン学習を含み、回復力があり、強固で、正確で、高速なマルウェア検出を提供する1組のプラットフォームをホストとする分析。
New technology possibilities for network data characterization system and method embodiments include the following:
1. Line-speed file analysis framework, real-time threat and intelligence supply interaction, post-analyzer for additional content processing, and user-definable outputs routed for system integration. Cyber intelligence platform with
2. Analysis hosted by a set of platforms that provide innovative machine learning based on analytics and provide resilient, robust, accurate and fast malware detection.
図1Aを参照して、ネットワークデータ特性評価システム10の実施形態を示す。
システム10によって提供される特性評価または分類センサー12のソフトウェアアーキテクチャが図示される。
特性評価センサー12では、コレクターサブシステム104は、データエントリ(入力)ポイントであり、インタフェース102を通して、外部ネットワーク14および内部ネットワーク16からネットワークイベントを受信する。
インタフェース102は、さまざまなスピードを持つ種々のネットワークインタフェースのうちのいずれでもよい(例えば、1Gまたは10Gインタフェース)。
ネットワークイベントは、コンテンツ、例えばファイルを含んでもよい。
コレクター104は、供給装置(例えば、SMTP、HTMP、およびFTP供給装置)からのデータを、イベントとコンテンツ(例えばファイル)に、再構成するリアセンブラでもよい。
実施形態において、コレクター104は、コンテンツがスケーラブル(拡張可能)ファイル分析器106に引き出されたイベントに関して、コンテンツとメタデータを提供するために、深いパケット検査フレームワークを利用してもよい。
実施形態において、コレクター104は、コンテンツとメタデータからメッセージを作成し、そのメッセージをスケーラブルファイル分析器(アナライザ)106に転送する。
他の実施形態において、スケーラブルファイル分析器106は、コレクター104から転送されたコンテンツとメタデータから、メッセージを作成する。
実施形態は、グラフィックユーザーインタフェース(GUI)を含み、および/または、マニュアルでのファイルアップロードと分析のためのコマンドライン・インタフェース(CLI)に基づくコレクターと、外部のファイル分析のためのファイルベースのAPIコレクターとを含んでもよい。
With reference to FIG. 1A, an embodiment of a network data characterization system 10 is shown.
The software architecture of the characterization or classification sensor 12 provided by the system 10 is illustrated.
In the characterization sensor 12, the collector subsystem 104 is a data entry (input) point and receives network events from the external network 14 and the internal network 16 through the interface 102.
Interface 102 may be any of a variety of network interfaces with varying speeds (eg, a 1G or 10G interface).
A network event may include content, such as a file.
The collector 104 may be a reassembler that reconstructs data from a supply device (eg, SMTP, HTMP, and FTP supply devices) into events and content (eg, files).
In an embodiment, the collector 104 may utilize a deep packet inspection framework to provide content and metadata regarding events for which content has been pulled to the scalable file analyzer 106.
In an embodiment, the collector 104 creates a message from the content and metadata and forwards the message to the scalable file analyzer (analyzer) 106.
In other embodiments, the scalable file analyzer 106 creates a message from the content and metadata transferred from the collector 104.
Embodiments include a graphical user interface (GUI) and / or a collector based on a command line interface (CLI) for manual file upload and analysis, and a file-based API for external file analysis And a collector.
実施形態において、コレクターサブシステム104は、一組のメモリー間分析器(分析ツール)をホストするファイル分析フレームワーク(スケーラブルファイル分析器106)に供給する。
実施形態において、スケーラブルファイル分析器106は、複数のイベントとファイルの分析器108を含む。
例えば、図示された実装(インプリメンテーション)において、スケーラブルファイル分析器106は、7つのタイプのイベントとファイルの分析器108をホストする。
いくつかの分析器108はイベント分析器であり、いくつかはファイル分析器であり、いくつかはイベントとファイルの両方の分析器と考えられてもよい。
負荷および他の要因に基づき、実施形態は、個々のタイプの1つ以上のイベントおよびファイルの分析器を含んでもよい。
実施形態において、分析器108は、(コレクター104またはスケーラブルファイル分析器106がメッセージを作成するかどうかに依存して)署名基準に基づいて、スケーラブルファイル分析器106に転送されたメッセージを受信し、又は、スケーラブルファイル分析器106によって転送されたメッセージを受信する。
例えば、個々の分析器108は、コンテンツの一定のタイプ(例えば、ファイルの一定のタイプ、一定のタイプのソースから受信したコンテンツの一定のタイプ、または、一定のタイプのネットワークを超えて受信されたコンテンツの一定のタイプ)にだけ署名することができる。
分析器108と、分析器108によって実行される分析は、以下に、詳細に記載される。
In an embodiment, the collector subsystem 104 provides a file analysis framework (scalable file analyzer 106) that hosts a set of memory-to-memory analyzers (analysis tools).
In an embodiment, the scalable file analyzer 106 includes a plurality of event and file analyzers 108.
For example, in the illustrated implementation, the scalable file analyzer 106 hosts seven types of event and file analyzers 108.
Some analyzers 108 are event analyzers, some are file analyzers, and some may be considered both event and file analyzers.
Based on load and other factors, embodiments may include one or more event and file analyzers of each type.
In an embodiment, the analyzer 108 receives a message forwarded to the scalable file analyzer 106 based on signature criteria (depending on whether the collector 104 or the scalable file analyzer 106 creates a message) Alternatively, the message transferred by the scalable file analyzer 106 is received.
For example, an individual analyzer 108 may receive a certain type of content (eg, a certain type of file, a certain type of content received from a certain type of source, or a certain type of network). Only certain types of content) can be signed.
The analyzer 108 and the analysis performed by the analyzer 108 are described in detail below.
コレクター104からメッセージを受信する時に、スケーラブルファイル分析器106は、どの分析器108が個々のメッセージのコンテンツに署名するかを決定し、署名分析器108に、署名されたコンテンツを有するメッセージを経路制御(ルーティング)するだけである。
言いかえれば、メッセージがどのイベントに対するコンテンツを含んでいるか、あるいは、どのファイル分析器108が署名するかに基づいて、メッセージ(コンテンツとメタデータ)は、分析器108に経路制御(ルーティング)される。
例えば、以下に説明されるヘクター分析器などのいくつかの分析器は、PE32s、PDF、MS-DOS実行ファイル、MS Word、PowerPoint、Excel、CDF/MSI、アンドロイドAPK、JAR、ELF、WindowsインストーラXML、ビットマップ、およびGIFファイルを含むコンテンツに、署名することができる。
他の分析器は、このコンテンツのサブセットに、署名できるだけである(例えば、PE32およびMS-DOSファイルだけ)。
スケーラブルファイル分析器106は、メッセージの中のコンテンツが、メッセージ内に含まれているメタデータにより署名されるかどうかを決定できる。
同様に、スケーラブルファイル分析器106は、個々の分析器108の署名を持つファイルまたは他のデータを維持できる。
あるいは、そのようなファイルまたはデータは、分析器108によって維持されて、スケーラブルファイル分析器106によって検査することができる。
複数の分析器108が同じタイプのコンテンツに署名することができるが、一方、いくつかのコンテンツは単一の分析器108によって署名されるだけであることは注目すべきである;その結果、1つ以上の分析器108の署名は、1つ以上の他の分析器108の署名と重複(オーバーラップ)することができる。
When receiving a message from the collector 104, the scalable file analyzer 106 determines which analyzer 108 signs the content of the individual message and routes the message with the signed content to the signature analyzer 108. Just (routing).
In other words, messages (content and metadata) are routed to the analyzer 108 based on what event the message contains content for, or which file analyzer 108 signs. .
For example, some analyzers such as the Hector Analyzer described below are PE32s, PDF, MS-DOS executable, MS Word, PowerPoint, Excel, CDF / MSI, Android APK, JAR, ELF, Windows Installer XML Content, including bitmaps, and GIF files can be signed.
Other analyzers can only sign a subset of this content (eg, only PE32 and MS-DOS files).
The scalable file analyzer 106 can determine whether the content in the message is signed with the metadata contained within the message.
Similarly, the scalable file analyzer 106 can maintain files or other data with individual analyzer 108 signatures.
Alternatively, such files or data can be maintained by analyzer 108 and examined by scalable file analyzer 106.
It should be noted that multiple analyzers 108 can sign the same type of content, while some content is only signed by a single analyzer 108; The signature of one or more analyzers 108 can overlap with the signature of one or more other analyzers 108.
図1Aの継続的参照によれば、スケーラブルファイル分析器106から出力された結果は、ディスク110と、データベース112に保存することができる。
たとえば、分析器106は、タグ付けされ分類されたファイルを出力でき、分類された(たとえば、悪意のあるものとして分類されるか、または、設定されたしきい値パーセンテージを超えて悪意のあることの確信度を持って分類された)ファイルは、ディスク110に保存されることができ、一方、分析器106からの分析結果を記述したメタデータは、データベース112に保存されることができる。
分析器106の結果として生じるディスク110は、コンテンツとセッションメタデータの大きなセットにおいて、カスタムフィルタリングをすることを許すGUIビューア114によって見ることができる。
GUIイベントビューア114は、検出閾値の構成(コンフィギュレーション)(例えば、最初から組み込むか、またはユーザ定義される)に基づいてファイルを見出し、以下に詳細に説明されるように、協力的な分析グループのために、アイテムに、UNKNOWN(未知)、TRUSTED(安全)、SUSPICIOUS(疑わしい)、またはMALICIOUS(悪意がある)というタグを付けるように、ワークフローを提供できる分析器108を、ユーザーに通知することができる。
With continued reference to FIG. 1A, the results output from the scalable file analyzer 106 can be stored on the disk 110 and the database 112.
For example, the analyzer 106 can output a tagged and classified file that has been classified (e.g., classified as malicious or malicious beyond a set threshold percentage). Can be stored on the disk 110, while metadata describing the analysis results from the analyzer 106 can be stored in the database 112.
The resulting disc 110 of the analyzer 106 can be viewed by a GUI viewer 114 that allows custom filtering on a large set of content and session metadata.
The GUI event viewer 114 finds the file based on the detection threshold configuration (eg, built in or user-defined from the start) and supports collaborative analysis groups as described in detail below. Notifying the user of an analyzer 108 that can provide a workflow to tag an item as UNKNOWN, TRUSTED, SUSPICIOUS, or MALICIOUS Can do.
また、スケーラブルファイル分析器106の結果は、脅威知能供給装置と関連付けられるように構成され、相互運用性と拡張性のためにユーザー定義可能なシステムに出力されるように構成してもよく、あるいは、ワークフローは、付加的な分析のために、ポスト分析器18に、ファイルを転送(ルーティング)できる。
ポスト分析サブシステム116は、ディスク112から、タグ付けされて分類されたファイルを検索し、インタフェース118を通って、ポスト分析器18に出力できる。
インタフェース118は、さまざまなスピードを持つ各種のネットワークインタフェースのうちのいずれでもよい(例えば、1G MGMTインタフェース)。
分析器106からのメタデータ出力は、また、アウトプットサブシステム120により検索されることができ、インタフェース118を通して、セキュリティ情報とイベントの管理(SIEM)ツール19などの他のツールに、外部に出力できる。
オープンなアプローチとテクノロジーは、情報コミュニティの統合に適用できる。
システム10の実施形態は、仕事量によって重み付けられたデータの経路制御(ルーティング)、全体の分析ステータス、流行しているファイル、ホスト、およびヒットのスナップショットを示すダッシュボードも提供する。
Also, the results of the scalable file analyzer 106 may be configured to be associated with a threat intelligence provider and output to a user definable system for interoperability and scalability, or The workflow can transfer (route) the file to the post analyzer 18 for additional analysis.
The post analysis subsystem 116 can retrieve the tagged and classified files from the disk 112 and output them to the post analyzer 18 through the interface 118.
Interface 118 may be any of a variety of network interfaces with varying speeds (eg, a 1G MGMT interface).
The metadata output from the analyzer 106 can also be retrieved by the output subsystem 120 and output externally through the interface 118 to other tools such as the Security Information and Event Management (SIEM) tool 19 it can.
Open approaches and technologies can be applied to information community integration.
Embodiments of the system 10 also provide a dashboard showing workload routing of data weighted by work, overall analysis status, trending files, hosts, and hit snapshots.
分析的なアプローチまたは実施形態は、次のことをすることである:
1. アナリストが好むツールを利用し(防止しないか、または再実行しない)、より早い識別とメタ分析的な認知のために、ネットワークゲートウェイで、それらが、協力的に動作できるようにすること。
2. 回復力があり、正確で、高速なマルウェア検出を提供することによって、現在の能力が賞賛されるように、いままでにない新しい分析を配信すること。
An analytical approach or embodiment is to do the following:
1. Use tools that analysts prefer (do not prevent or re-execute) and allow them to work cooperatively at the network gateway for faster identification and meta-analytic recognition. .
2. Deliver unprecedented new analysis so that current capabilities are praised by providing resilient, accurate and fast malware detection.
図1Aの継続的参照によれば、ネットワークデータ特性評価のためのシステム10の実施形態は、7つのユーザー設定可能な分析器108をホストする。
以下の表1は、システム10の実施形態においてホストされた分析器108のリストを提供している。
With continued reference to FIG. 1A, an embodiment of the system 10 for network data characterization hosts seven user-configurable analyzers 108.
Table 1 below provides a list of the analyzers 108 hosted in the system 10 embodiment.
Hector ヘクター : 以前に非可視であったマルウェアの検出のための分析器に基づいて学習する高度に構成(コンフィギュレーション)可能なマシン
hURI : 疑わしいURL特性評価に対するマシン学習アプローチ
ClamAV : マルウェア検出のための署名に基づく分析器
Extractor : 暗号化されたアーカイブファイルのためのパスワードクラッカー分析器
PEScanner : PE32とMS-DOSのためのポータブルな実行可能分析器
YARA : マルウェア検出のためのルールに基づくパターンマッチング分析器
Intel Lookup インテルルックアップ : 署名されたプロセスのためのインテル相関分析器
Hector: A highly configurable machine that learns based on an analyzer for detection of previously invisible malware
hURI: A machine learning approach to suspicious URL characterization
ClamAV: Signature-based analyzer for malware detection
Extractor: Password cracker analyzer for encrypted archive files
PEScanner: portable executable analyzer for PE32 and MS-DOS
YARA: Rule-based pattern matching analyzer for malware detection
Intel Lookup Intel Lookup: Intel correlation analyzer for signed processes
ヘクター(Hector)は、以前に非可視であったマルウェアを検出する高度に構成(コンフィギュレーション)可能なマシン学習予言テクニックを利用する予言的でマシン学習する私有の分析器であり、コンテンツが悪意に満ちている可能性を示すパーセンテージ(すなわち、ファイルが悪意に満ちているという確信度を示している確信度パーセンテージ)を用いて、マルウェアを検出し、コンテンツを分類するかまたは特徴付けるために、特徴ベースの分析と特性評価を利用する。
ヘクターの実施形態と、ヘクターの実施形態によって使われたプロセスは、「自動化されたマシン学習、ゼロデイマルウェア検出のための改善されたシステムおよび方法」という表題の出願中の米国特許出願番号14/038,682において、説明されており、従って、それは参照することにより、そっくりそのまま組み入れられる。
ヘクター分析器の実施形態は、特徴ベースのアルゴリズムを使うか、またはファイルから引き出された特徴の比較に基づいて、ファイルが悪意に満ちているかの確信度パーセンテージを出力して、コンテンツが悪意のあるものかどうかを決定するためのプロセスを使うことができ、既知の悪意のあるファイルおよび既知の安全なファイルの特徴から造られた分類器を使うことができる。
実施形態は、また、たとえば、URLを、疑わしい、きれい、あるいは汚いに分類するための高度に構成(コンフィギュレーション)可能なマシン学習テクニックを利用するhURIの私有の分析器をホストしてもよい。
hURIセンサーは、ドメイン名の意味解析に基づいて、URLを分類できる。
Hector is a prophetic and machine learning private analyzer that uses highly configurable machine learning prediction techniques to detect previously invisible malware, and content is malicious Feature-based to detect malware and classify or characterize content using a percentage that indicates the likelihood of being full (ie, a confidence percentage that indicates the confidence that the file is malicious) Use analysis and characterization.
The Hector embodiment and the process used by the Hector embodiment are described in pending US Patent Application No. 14 / 038,682, entitled “Automated Machine Learning, Improved System and Method for Zero-Day Malware Detection”. And are therefore incorporated by reference in their entirety.
The Hector Analyzer embodiment uses a feature-based algorithm or outputs a confidence percentage of whether the file is malicious based on a comparison of features derived from the file, and the content is malicious A process can be used to determine if it is a thing, and a classifier built from known malicious file and known safe file features can be used.
Embodiments may also host a private analyzer of hURI that utilizes highly configurable machine learning techniques, for example, to classify URLs as suspicious, clean, or dirty.
The hURI sensor can classify URLs based on semantic analysis of domain names.
実施形態は、ネットワークデータ特性評価のためのサードパーティまたはオープンソースツールを、ホストしてもよい。
たとえば、システム10の実施形態は、ClamAVなどのマルウェア検出のための署名ベースの分析器をホストしてもよい。システム10の実施形態は、抽出器(Extractor)などの暗号化されたアーカイブファイル分析と特性評価のためのパスワードクラッカー分析器をホストしてもよい。
システム10の実施形態は、PEScannerなどのPE32とMS-DOS実行ファイルの分析と特性評価のためのポータブルな実行可能分析器をホストしてもよい。
システム10の実施形態は、YARAなどのマルウェア検出と特性評価のためのルールベースのパターンマッチング分析器をホストしてもよい。
同様に、システム10の実施形態は、インテルルックアップ(Intel Lookup)などの署名されたプロセスのためのインテル相関分析器をホストしてもよい。
これらおよび他の分析器は、システム10の実施形態によってホストしてもよい。
Embodiments may host third party or open source tools for network data characterization.
For example, an embodiment of system 10 may host a signature-based analyzer for malware detection, such as ClamAV. Embodiments of the system 10 may host a password cracker analyzer for encrypted archive file analysis and characterization, such as an Extractor.
Embodiments of the system 10 may host a portable executable analyzer for analysis and characterization of PE32 and MS-DOS executables such as PEScanner.
Embodiments of the system 10 may host a rule-based pattern matching analyzer for malware detection and characterization such as YARA.
Similarly, embodiments of system 10 may host an Intel correlation analyzer for signed processes such as Intel Lookup.
These and other analyzers may be hosted by the system 10 embodiment.
マシン学習:自動化された検索(サーチ)と発見
図1Aと表1の継続的参照によれば、ヘクターとhURIにより使われるようなマシン学習は、様々なオブジェクト例への露出を介して、異なるタイプまたはクラスのオブジェクトを区別するために、コンピュータを訓練するのに使われ、顔の認識、音声認識、画像処理などの多くの分野で、うまく適用されている。
重要なステップは、クラスの違いを学習するのに使われるオブジェクト特徴の選択である。
学習プロセスの結果は、分類器(classifier)と呼ばれる。
分類器は、コンピュータが前に一度も見たことがなく、従って同様なタイプのオブジェクトをサーチするために使用できるオブジェクトのクラスを、コンピュータが予測できるようにする。
マシン学習アルゴリズムの自動化によって、全体のオブジェクトスペースを調査するのに必要な時間を大きく削減する。
Machine Learning: Automated Search (Search) and Discovery According to the continuous reference in Figure 1A and Table 1, machine learning, such as that used by Hector and hURI, is of different types through exposure to various example objects. Or it is used to train computers to distinguish class objects and has been successfully applied in many areas such as face recognition, speech recognition, and image processing.
An important step is the selection of object features that are used to learn class differences.
The result of the learning process is called a classifier.
The classifier allows the computer to predict a class of objects that the computer has never seen before and can therefore be used to search for similar types of objects.
Automation of machine learning algorithms greatly reduces the time required to investigate the entire object space.
例えば、ネットワークデータ特性評価のシステムと方法の実施形態において使われたヘクターの実施形態において、マシン学習は、マルウェアを安全なソフトウェアと区別するために、特徴の複雑な組み合わせに基づいて、ソフトウェア分類器を造るように適用され、大量のトラフィックをサーチするように適用される。
ネットワークデータ特性評価のシステムと方法の実施形態は、ネットワークトラフィックを検査し、人間の分析者は、起こる可能性の高いイベントを検査することに傾注する。
このアプローチは、署名とサンドボックスに基づくアプローチとは違った利点を持っている。第一に、ヘクターにおいて、ここで記載された実施形態によって利用されたアプローチは、すべてのもの、すなわち、全部のまたは事実上全部のネットワークトラフィックが検査できるように、非常に高いトラフィック量にまで、拡張される。
前置フィルタまたは上流間引きの他の形態は、必要ではない。第二に、署名あるいは行動と違って、ヘクター分類器は、変化するマルウェアと戦術に対して、回復力がある。
脅威が変化した何年も後でも、分類器が脅威を発見できることは示された。
このことは、検出の可能性と精度を増大させる。
ヘクターの実施形態は、以下のファイルのタイプの分析を支援する:PE32s、PDF、MS-DOS実行ファイル、MS Word、PowerPoint、Excel、CDF/MSI、アンドロイドAPK、JAR、ELF、WindowsインストーラXML、ビットマップ、およびGIF。
For example, in the Hector embodiment used in the network data characterization system and method embodiment, machine learning is based on a complex combination of features to distinguish malware from secure software. Applied to build and to search large amounts of traffic.
Embodiments of network data characterization systems and methods examine network traffic and human analysts focus on examining events that are likely to occur.
This approach has different advantages than the signature and sandbox based approach. First, in Hector, the approach utilized by the embodiments described herein is all, ie, to very high traffic volumes so that all or virtually all network traffic can be inspected. Expanded.
No other form of pre-filter or upstream decimation is necessary. Second, unlike signatures or actions, the Hector classifier is resilient to changing malware and tactics.
It has been shown that classifiers can detect threats even years after the threat has changed.
This increases the likelihood and accuracy of detection.
Hector embodiments support the analysis of the following file types: PE32s, PDF, MS-DOS executable, MS Word, PowerPoint, Excel, CDF / MSI, Android APK, JAR, ELF, Windows Installer XML, Bit Maps and GIFs.
競争相手のマルウェア検出ツールは、以前に検出されたマルウェアを示す情報に依存していることに注目すべきである。
これらのツールは、ファイルが、以前に検出されたマルウェアであるかどうかを示すハッシュ(hash)を作成し、アップデートする。
このパラダイム(枠組)についての問題は、それが、マルウェア検出ツールに報告されているマルウェアの以前の検出に依存していることである。
従って、マルウェアが検出されて検出ツールに含められる前に、数日、数週、数ヶ月かかるかもしれない。
また、そのようなツールは、それらのハッシュとマッチするファイルを分析するだけであり、以前に検出されなかったマルウェアを、必ず、通過させる。
ヘクターと他のマシン学習テクニックを利用するここに記載された実施形態は、ハッシュを気にすることなく、ほとんどリアルタイムで、マルウェアを検出する。
ここに記載された実施形態は、ハッシュとマッチするファイルだけでなく、受信したすべてのファイルも分析する。
さらに、実施形態は、受信したすべてのファイル、現在のサンドボックスツールで実用的に処置できないものでも分析できる。
It should be noted that competitor malware detection tools rely on information indicative of previously detected malware.
These tools create and update a hash that indicates whether the file is previously detected malware.
The problem with this paradigm is that it relies on previous detections of malware reported to malware detection tools.
Thus, it may take days, weeks, months before malware is detected and included in the detection tool.
Also, such tools only analyze files that match their hashes, and always pass malware that was not previously detected.
Embodiments described herein that utilize Hector and other machine learning techniques detect malware in near real time without concern for hashes.
The embodiments described herein analyze all received files, not just those that match the hash.
Furthermore, embodiments can analyze all received files, even those that cannot be practically handled with current sandbox tools.
図1Aの継続的参照によれば、特性評価センサー12は、単一のコンテナ物理的器具(アプライアンス)として実装できる(すなわち、1つのボックス)。特性評価センサー12は、256GBメモリーを持つ2U x86-ベースの器具(アプライアンス)として実装できる。
実施形態において、特性評価センサー12は、2つの1Gbps RJ45管理ネットワークインタフェースカード(NICs)と、2つから6つの10Gbps SFP+ハイエンドデータ処理NICsを持っている。
特性評価センサー12は、強化されたCentOS上で動作させることができ、暗号化されたおよび署名されたRPMsを使って管理される。
特性評価センサーは、複数のx86-ベースの器具、他のプロセッサベースの器具、例えば、ブレードがあるサーバのスタック上に実装できる。
With continued reference to FIG. 1A, the characterization sensor 12 can be implemented as a single container physical appliance (ie, one box). The characterization sensor 12 can be implemented as a 2U x86-based appliance with 256GB memory.
In an embodiment, the characterization sensor 12 has two 1 Gbps RJ45 management network interface cards (NICs) and two to six 10 Gbps SFP + high-end data processing NICs.
The characterization sensor 12 can run on enhanced CentOS and is managed using encrypted and signed RPMs.
The characterization sensor can be implemented on multiple x86-based instruments, other processor-based instruments, eg, a server stack with blades.
相互運用性:ここで記載された実施形態の相互運用性は、オープンな標準ベースのインタフェースを通して提供できる。
例えば、実施形態は、RESTful APIサービスを提供し、syslog、共通イベントフォーマット(CEF)、JSON、XML、および他の標準で、データを露呈させる。
実施形態は、インジケータ情報の信頼され自動化されたeXchange(Trusted Automated eXchange of Indicator Information TAXII)と、他の構造化処理情報交換(Structured Treat Information Exchange STIX)標準の消費を、実装する。
抽出されたファイルは、より広い分析エコシステムで、相互運用するために公開できる。
Interoperability: The interoperability of the embodiments described herein can be provided through an open standards-based interface.
For example, embodiments provide RESTful API services that expose data in syslog, common event format (CEF), JSON, XML, and other standards.
Embodiments implement the trusted automated eXchange of Indicator Information TAXII and consumption of other Structured Treat Information Exchange STIX standards.
The extracted files can be made public for interoperability in a wider analysis ecosystem.
拡張性(スケーラビリティ):実施形態は、標準の負荷平衡化テクニックによって、10Gbpsデータ転送速度よりも高く拡張(スケール)できる。
マシン学習アプローチに必要な処理を縮小させるために、サンドボックスベースのアプローチを拡張するよりもずっと少ないハードウェアが必要である。
次に、図1Bの参照によって、ネットワークデータ特性評価のシステム10の別の実施形態が示される。
図示されるように、システム10の実施形態は、特性評価センサー12がピアツーピアメッシュ(peer-to-peer mesh)に配置される複数の特性評価センサー12を含む管理へのデータグリッド(data grid)アプローチを実装できる。
図示されたデータグリッドにおいて、個々の特性評価センサー12は、頑強でトランザクション(transactional)の方式で、不揮発性の状態を共有し、それによって、中心的な管理者を取り除き、データと構成(コンフィギュレーション)の冗長性を提供し、全体の管理とアーキテクチャを簡素化する。
この方法では、多数の特性評価センサー12は、データグリッドと呼ばれるピアツーピアメッシュで、お互いに接続され、各特性評価センサー12は、他のセンサー12に対し、回復力と冗長性を提供する。
そのような配置において、特性評価センサー12は、ディスク110とデータベース112を共有できる。
あるいは、個々の特性評価センサー12は、内部のディスク110とデータベース112の二重の保存場所を、内部的に維持できる(図1Bに図示しない)。
この方法では、特性評価センサー12の小型のクラウドが、もし1つの特性評価センサー12が、オフライン動作である場合に、冗長な設定とデータを持つ他の特性評価センサー12に基づいて置き換えられるように、実装される。
Scalability: Embodiments can be scaled higher than 10 Gbps data rates by standard load balancing techniques.
To reduce the processing required for the machine learning approach, much less hardware is required than to extend the sandbox-based approach.
Next, with reference to FIG. 1B, another embodiment of a system 10 for network data characterization is shown.
As shown, an embodiment of the system 10 is a data grid approach to management that includes a plurality of characterization sensors 12 where the characterization sensors 12 are arranged in a peer-to-peer mesh. Can be implemented.
In the illustrated data grid, the individual characterization sensors 12 share a non-volatile state in a robust and transactional manner, thereby removing the central administrator and data and configuration. ) To provide redundancy and simplify overall management and architecture.
In this method, multiple characterization sensors 12 are connected to each other in a peer-to-peer mesh called a data grid, and each characterization sensor 12 provides resiliency and redundancy to the other sensors 12.
In such an arrangement, the characterization sensor 12 can share the disk 110 and the database 112.
Alternatively, individual characterization sensors 12 can internally maintain a dual storage location for internal disk 110 and database 112 (not shown in FIG. 1B).
In this way, a small cloud of characterization sensors 12 can be replaced based on other characterization sensors 12 with redundant settings and data if one characterization sensor 12 is in offline operation. Implemented.
性能:実施形態は、1および10Gbpsネットワークリンクで、動作するように設計される。
実施形態は、多様なプロトコルと、高速ゲートウェイリンク上の多量のウェブトラフィックとを、メモリー内分析するために、造られることを目的としてもよい。
このことは、1秒あたり最高1000のオブジェクトの収集と、ウェブとEメールプロトコルのための企業ゲートウェイの典型的な量のトラフィックとを可能にする。
Performance: The embodiment is designed to work with 1 and 10 Gbps network links.
Embodiments may be intended to be built for in-memory analysis of various protocols and large amounts of web traffic on high-speed gateway links.
This allows for the collection of up to 1000 objects per second and the typical amount of traffic for corporate gateways for web and email protocols.
セキュリティ:実施形態は、ハードディスク暗号化を支援する信頼されたプラットフォームモジュール(trusted platform module TPM)をてこ入れした強化されたCentOSプラットフォーム上で、暗号化されたRPMパッケージマネジャー(RPMs)として、管理してもよい。 Security: Embodiments can be managed as encrypted RPM package managers (RPMs) on a strong CentOS platform that leverages a trusted platform module (TPM) that supports hard disk encryption. Good.
次に、図2の参照によって、ネットワークデータ特性評価の方法20の実施形態が示される。
方法20は、ここに記載されたように、例えば図1A-1Bを参照して、特性評価センサーを含むシステムによって実装してもよい。
方法20は、ネットワークデータを受信する(ブロック202)。
上記に記載されたように、特性評価センサー12は、外部ネットワーク14および/または内部ネットワーク16と接続するインタフェースを通して、ネットワークデータ(例えばイベント)を受信することができる。
データコレクターは、データ供給装置として、例えばSMTP、HTTP、およびFTP供給装置として、ネットワークデータを受信することができる。
データコレクターは、受信されたネットワークデータから、イベントとコンテンツをアセンブルすることができる(ブロック204)。
上記で言及したように、イベントはコンテンツを含んでもよい(例えばファイル)。さらに、実施形態は、たとえば、マニュアルでのファイルアップロードのためのGUI/CLI-ベースのコレクターか、あるいは、ファイルベースのAPIコレクターによって、コンテンツ(例えばファイル)のアップロードを許すものであってもよい(ブロック206)。
イベントとコンテンツは、データメッセージに変換される(ブロック208)。
メッセージは、その中に含まれているイベントとコンテンツを特定するメタデータを含んでもよい。
メッセージは、個々の分析器の1つ以上の署名に基づいて、特性評価センサー12の中の複数の分析器のうちの1つ以上に転送(ルーティング)される、ブロック210。
分析器の署名は、特定のメッセージ基準によって定義されてもよい。
もし与えられたメッセージが、分析器の署名の特定のメッセージ基準を満たしている場合、例えば、特定の基準を、メッセージに含まれているメタデータと比較することによって、メッセージが決定される場合、そのメッセージは分析器に転送(ルーティング)される。
上記で言及したように、個々の分析器は、メッセージの1以上のタイプに署名することができ、方法20の実施形態では、多数の分析器が、同じタイプのメッセージに署名することができる。
Next, with reference to FIG. 2, an embodiment of a method 20 for network data characterization is shown.
The method 20 may be implemented by a system that includes a characterization sensor as described herein, eg, with reference to FIGS. 1A-1B.
The method 20 receives network data (block 202).
As described above, the characterization sensor 12 can receive network data (eg, events) through an interface that connects to the external network 14 and / or the internal network 16.
The data collector can receive network data as a data supply device, for example as an SMTP, HTTP, and FTP supply device.
The data collector may assemble events and content from the received network data (block 204).
As mentioned above, an event may include content (eg, a file). Furthermore, embodiments may allow content (eg, files) to be uploaded, for example, by a GUI / CLI-based collector for manual file upload, or by a file-based API collector ( Block 206).
Events and content are converted into data messages (block 208).
The message may include metadata identifying the events and content contained therein.
The message is forwarded (routed) to one or more of the plurality of analyzers in the characterization sensor 12 based on one or more signatures of the individual analyzers, block 210.
The analyzer signature may be defined by specific message criteria.
If a given message meets the specific message criteria of the analyzer signature, for example if the message is determined by comparing the specific criteria with the metadata contained in the message, The message is forwarded (routed) to the analyzer.
As mentioned above, individual analyzers can sign one or more types of messages, and in the method 20 embodiment, multiple analyzers can sign the same type of messages.
また、メッセージを転送(ルーティング)すること(210)は、時間と負荷を処理して、資源割り当てに基づくものとすることができる。
例えば、実施形態は、以下に記載されるように、ピアツーピアグリッドの複数の特性評価センサー12を構成してもよい。
そのようなものとして、転送(ルーティング、210)は、与えられた特性評価センサーの現在の負荷を考慮してもよく、処理される負荷をよりよく平衡させるために、メッセージを、異なる特性評価センサーに、転送(ルーティング)してもよい210。
Also, forwarding (routing) messages (210) can be based on resource allocation, processing time and load.
For example, embodiments may configure multiple characterization sensors 12 in a peer-to-peer grid, as described below.
As such, forwarding (routing, 210) may take into account the current load of a given characterization sensor, and in order to better balance the load being processed, messages may be sent to different characterization sensors. And 210 may be forwarded (routed).
分析器が、署名され転送(ルーティング)されたデータメッセージを受信するとき、分析器は、特定の分析アルゴリズムとテクニックによって、データメッセージ内に含まれているコンテンツを分析し、その分析に基づいて、特性評価の結果を生成する(ブロック212)。
特性評価の結果は、分析と、特性評価の結果と、分析されたコンテンツ(例えばファイル)とを記述しているメタデータを含んでもよい。
分析されたファイルは、例えば、メタデータおよび、ファイルが悪意のあるものか、ファイルが安全であるか、または、ファイルが悪意のあることの可能性を示しているパーセンテージの表示で、タグ付けしてもよい。
上記で言及したように、実施形態は、専有の分析器、サードパーティの分析器、および/またはオープンソース分析器を含む複数の分析器を含む。
実施形態は、上記に記載したように、ヘクターやhURIなどのマシン学習分析器を含む。
複数の分析器の特性評価の結果は、収集され、結合され、システムGUIでの視覚化、または基準と閾値に基づく他のその後の行動のために、例えばスケーラブルファイル分析器から出力することができる(ブロック214)。
特性評価の結果は、例えば、フラグまたは、分析器が、ファイルが悪意のあるものであると考えるか、またはファイルが悪意のあるものである可能性のパーセンテージを考慮した他の表示を含むことができる。
出力すること(214)は、特性評価メタデータをデータベースに保存することと、分類されたファイルをディスクスペースに保存することを含んでもよい。
出力すること(214)は、結合された特性評価の結果が、ユーザーに有益な方法で(例えばここで説明されたGUIを通じて)、提供されるように、特性評価データの結果の付加的な処理を含んでもよい。
When the analyzer receives a signed and forwarded (routed) data message, the analyzer analyzes the content contained in the data message with specific analysis algorithms and techniques, and based on that analysis, A characterization result is generated (block 212).
The result of the characteristic evaluation may include metadata describing the analysis, the result of the characteristic evaluation, and the analyzed content (eg, a file).
Analyzed files are tagged with, for example, metadata and a percentage display that indicates whether the file is malicious, the file is safe, or the file may be malicious. May be.
As noted above, embodiments include multiple analyzers including proprietary analyzers, third party analyzers, and / or open source analyzers.
Embodiments include machine learning analyzers such as hector and hURI as described above.
Multiple analyzer characterization results can be collected and combined and output from, for example, a scalable file analyzer, for visualization in the system GUI or other subsequent actions based on criteria and thresholds (Block 214).
Characterization results may include, for example, a flag or other indication that the analyzer considers the file to be malicious or considers the percentage of the file's likelihood of being malicious it can.
Output (214) may include saving the characterization metadata in a database and saving the classified files in disk space.
Output (214) is an additional processing of the characterization data results so that the combined characterization results are provided in a way that is useful to the user (eg, through the GUI described herein). May be included.
図2の継続的参照によれば、特性評価の結果は、基準および閾値と比較できる(ブロック216)。
基準および閾値は、企業の必要性と要求に基づいて、またはシステムの他のユーザーに基づいて、修正され、設定してもよい。
基準は、もし満たしていたら、採るべきその後の行動を指令することができ、一方、閾値は、分析されたコンテンツが悪意があるとみなすべき閾値を満たすかどうかを指令することができる。
例えば、もし、特性評価の結果が、ヘクターがファイルを65パーセント(65%)程度悪意があるものとみなし、企業ユーザーが閾値として50パーセント(50%)を設定しファイルを悪意があるものとしてフラグを付ける基準を設定すること、企業により一層のレビュー結果リストを含めるためにファイルにフラグを付けること、システムのGUI視覚化にファイルを含めること、より一層の行動を指示することなどを示している場合には、そのとき、システムは、表示された行動を取る。
その結果、方法20は、視覚化され、および/または、比較(216)に基づいて、他の行動を取る(ブロック218)。
With continued reference to FIG. 2, the characterization results can be compared to criteria and thresholds (block 216).
The criteria and thresholds may be modified and set based on the needs and requirements of the enterprise or based on other users of the system.
If the criteria are met, then a subsequent action to be taken can be commanded, while the threshold value can command whether the analyzed content meets a threshold value that should be considered malicious.
For example, if the characterization results indicate that Hector considers the file 65 percent (65%) malicious and the business user sets the threshold as 50 percent (50%) to flag the file as malicious Set the criteria to be labeled, flag the file to include more review results lists by the company, include the file in the GUI visualization of the system, direct more action, etc. If so, then the system takes the displayed action.
As a result, the method 20 is visualized and / or takes other actions based on the comparison (216) (block 218).
言及したように、視覚化のための基準と閾値は、調整できる。
すなわち、基準と閾値は、ユーザーによって、修正されて、設定できる。
特性評価センサーの実施形態において、基準と閾値は、例えば企業または他のユーザーのセキュリティ感度の理解に基づいて、既定値レベル(default level)に設定してもよい。
例えば、企業に不利なリスクがますます増加するのであれば、ファイルを、悪意があるものとして、フラグ付けし、リスト化し、視覚化するように、閾値をより低く設定すればよい。
企業および他のユーザーは、それらの初期の設定またはその後の設定の結果に基づいて、これらの設定を適合させるか、または調整できる。
例えば、効果的なその後のレビューのために、非常に多くのファイルが、フラグ付けされ、視覚化された場合、そのようなフラグ付けと視覚化のための基準と閾値は、高くすればよい。
その結果、方法20は、ユーザーが、基準および/または閾値に、変化を設定しているかどうかを決定できる(ブロック220)。
もし変化が設定されるならば、方法20は、基準および/または閾値への変化を受け入れ(ブロック222)、これらの変化を処理する(ブロック224)。
処理224は、変化を引き起こし、システムに、特性評価の結果を、基準および閾値と再度比較させ(216)、その再比較に基づいて、視覚化、および/または、他の行動を取らせるようにすることができる(218)。
もし、基準および/または閾値に変化が起こらなければ、上記に記載したように、方法20は、ネットワークデータを受信し(202)、特性評価または分類を継続しつづける。
As mentioned, the criteria and thresholds for visualization can be adjusted.
That is, the reference and threshold can be modified and set by the user.
In the characterization sensor embodiment, the criteria and thresholds may be set to a default level based on, for example, an understanding of the security sensitivity of a company or other user.
For example, if there is an ever-increasing risk to the company, the threshold may be set lower to flag, list, and visualize the file as malicious.
Companies and other users can adapt or adjust these settings based on the results of their initial settings or subsequent settings.
For example, if a large number of files are flagged and visualized for effective subsequent review, the criteria and thresholds for such flagging and visualization may be increased.
As a result, the method 20 can determine whether the user has set a change in the criteria and / or threshold (block 220).
If changes are set, the method 20 accepts changes to the reference and / or threshold (block 222) and processes these changes (block 224).
Process 224 causes a change and causes the system to re-comparison the results of the characterization with criteria and thresholds (216) and to take visualizations and / or other actions based on the re-comparison. Can (218).
If no change occurs in the criteria and / or threshold, as described above, method 20 receives network data (202) and continues characterization or classification.
次に、図3の参照によって、ネットワークデータ特性評価の方法30の実施形態が、どのように特性評価の結果を処理するかを、もっと詳しく説明したプロセスを示す。
示されたプロセスは、どのように、方法30の実施形態が、特性評価の結果を、基準および閾値と比較し(例えばブロック216を参照)、視覚化し、および/または、比較に基づいて他の行動を取ることができるかを示す(例えばブロック218を参照)。
方法30は、分析器から(例えば、スケーラブルファイル分析器から)、特性評価の結果を受信することができる(ブロック302)。現在の基準と閾値の設定が、検索される(ブロック304)。
方法30は、例えば、特性評価の結果のメタデータと、基準および/または閾値を比較することによって、どの基準と閾値が満たされているかを、決定する(ブロック306)。
方法30は、その後、決定306に基づいて、各種の行動のうちのいずれか1つ以上の行動を取ることができる(ブロック308)。
図 3は、実施形態が取ることのできる行動の例を記載している(308)。
より一層の分析が、外部の分析器により実施できることに注目せよ。
Reference is now made to FIG. 3 to illustrate a process that describes in more detail how an embodiment of the network data characterization method 30 processes the characterization results.
The process shown is how the embodiment of method 30 compares characterization results to criteria and thresholds (see, eg, block 216), visualizes, and / or other based on the comparison. Indicates whether an action can be taken (see, for example, block 218).
The method 30 may receive characterization results from an analyzer (eg, from a scalable file analyzer) (block 302). The current criteria and threshold settings are retrieved (block 304).
The method 30 determines which criteria and thresholds are met, for example, by comparing the characterization result metadata with criteria and / or thresholds (block 306).
The method 30 can then take any one or more of various actions based on the decision 306 (block 308).
FIG. 3 describes examples of actions that the embodiment may take (308).
Note that further analysis can be performed by an external analyzer.
次に、図4Aと図 4Bの参照によって、ネットワークデータの特性評価のためのシステムと方法の実施形態によって、生成された特性評価の結果の視覚化を描写しているダッシュボード視覚化GUI40のスクリーンショット(画面コピー)が示される。
図4Aに示すように、ダッシュボード視覚化GUI40は、一定の期間(たとえば、直前の1時間)内に受信されたイベントの特性評価のステータスの表示を提供できる。
例えば、特性評価ステータスとは、未知、信頼、悪意、疑わしい、あるいは、さらにレビュー必要とのことである。
ダッシュボード視覚化GUI40は、一定の期間(たとえば、直前の1時間)内のファイルデータフローの描写も含んでもよい。
ファイルデータフローは、例えばHTTP、SMTP、FTP、CLI注入ファイル、およびGUIアップロードファイルのある期間内に受信したファイルソースタイプの量を図示している。
フローでは、受信されたコンテンツと、署名され受信され個々の分析器により分析されたファイルの量を分析した分析器も図示している。
ダッシュボード視覚化GUI40は、様々な分析器によって、悪意のあるもの、あるいは、悪意がありそうなもの(例えば、フラグがつけられた)として、分類された分析ファイルの量も、図示している。
Next, with reference to FIGS. 4A and 4B, a dashboard visualization GUI 40 screen depicting visualization of the generated characterization results by an embodiment of a system and method for characterization of network data A shot (screen copy) is shown.
As shown in FIG. 4A, the dashboard visualization GUI 40 can provide an indication of the characterization status of events received within a certain period of time (eg, the last hour).
For example, a characterization status is unknown, trusted, malicious, suspicious, or needs further review.
The dashboard visualization GUI 40 may also include a depiction of the file data flow within a certain period of time (eg, the last hour).
The file data flow illustrates the amount of file source types received within a period of, for example, HTTP, SMTP, FTP, CLI inject file, and GUI upload file.
The flow also illustrates an analyzer that analyzes the received content and the amount of files that are signed, received, and analyzed by individual analyzers.
Dashboard visualization GUI 40 also illustrates the amount of analysis files classified as malicious or likely malicious (eg, flagged) by various analyzers .
次に、図4Bの参照によって、ダッシュボードGUI40は、一定の期間内に、悪意のあるもの、あるいは、悪意がありそうなもの(例えば、フラグがつけられた)と考えられるファイルの数を、ファイルのタイプによって、図示している。
さらに、ダッシュボードGUI40は、一定の期間内に、悪意のあるイベント、あるいは、悪意がありそうなイベントのソース(ここでは、ホストとして参照される)のランク付けされたリスト(例えば、疑わしいホスト)を提供している。
ランク付けされたリストは、ホストまたはソースから受信された悪意のあるイベント、あるいは、悪意がありそうなイベントの数によってランク付けされる。
さらに、ダッシュボードGUI40は、分析器(例えば、Yara、ClamAV、ヘクターなど)またはすべての分析器によって、悪意のあるもの、あるいは、悪意がありそうなものとしてフラグが付けられたファイルのランク付けされたリストなどの他のランク付けされたリストを提供してもよい。
特性評価の結果と、ダッシュボードGUIに描かれた他のデータは、上記のように設定された基準と閾値によって決定され、企業または他のユーザーによって構成することが可能である。
Next, with reference to FIG. 4B, the dashboard GUI 40 determines the number of files that are considered malicious or likely to be malicious (eg, flagged) over a period of time. Depending on the type of file, it is illustrated.
In addition, the dashboard GUI 40 provides a ranked list of malicious events or sources of potentially malicious events (referred to here as hosts) within a period of time (eg, suspicious hosts). Is provided.
The ranked list is ranked by the number of malicious events received or likely to be malicious from the host or source.
In addition, the dashboard GUI 40 ranks files that are flagged as malicious or likely malicious by an analyzer (eg, Yara, ClamAV, Hector, etc.) or all analyzers. Other ranked lists may be provided, such as a list.
The results of the characterization and other data drawn on the dashboard GUI are determined by the criteria and thresholds set as described above and can be configured by the company or other users.
次に、図5の参照によって、ネットワークデータ特性評価のシステムと方法の実施形態によって、(悪意、疑わしい、または、より一層のレビューが必要なコンテンツを含むものとして)分類されたイベントを一覧表にする特性評価の結果視覚化GUI50が示される。
特性評価結果視覚化GUI50は、そのように分類された個々のファイルのために、分類された時の日付とタイム・スタンプ、ソースIPアドレス、受信者またはターゲットのIPアドレス、ホストの名前(またはIPアドレス)、悪意のあるもの(例えば、赤いX)、疑わしいもの(例えば、オレンジ色の感嘆符)、あるいは一層のレビューを必要とするもの(例えば、青色のフラグ)であるかどうかのグラフィカルな表示、および、分析/特性評価の結果のグラフィカルな表示(例えば、ファイルのタイプ(例えば、Windows、Word、MS-DOSなど)のグラフィカルな表示と、コンテンツを悪意または疑わしいと分類したのはどの1つまたは複数の分析器であるか(例えば、分析器を示しているアイコン)と、もし知られているならば、マルウェアファイル名)を含んでもよい。
実装において、特性評価結果視覚化GUI50にリスト化されて表示されたコンテンツは、企業または他のユーザーによってさらに考慮されるか、または分析されるように意図されている。その結果、ユーザーは、さらに結果にフィルタをかけたいかもしれない。
Next, referring to FIG. 5, the events classified by the network data characterization system and method embodiment (as containing malicious, suspicious or more reviewable content) are listed. As a result of the characteristic evaluation, a visualization GUI 50 is shown.
The characterization result visualization GUI 50 will, for each file classified as such, date and time stamp, source IP address, recipient or target IP address, host name (or IP Graphical indication of whether it is address), malicious (eg, red X), suspicious (eg, orange exclamation mark), or something that requires further review (eg, blue flag) And a graphical display of analysis / characterization results (eg, a graphical display of file types (eg, Windows, Word, MS-DOS, etc.) and one that classified the content as malicious or suspicious. Or multiple analyzers (for example, an icon showing the analyzer) and malware file name if known) Or it may be you.
In the implementation, the content listed and displayed in the characterization result visualization GUI 50 is intended to be further considered or analyzed by a company or other user. As a result, the user may wish to further filter the results.
ここに説明されたネットワークデータ特性評価のシステムと方法と、ヘクターなど利用された分析器の実施形態の利点のうちの1つは、偽の否定(false negative)のリスクが最小化されることである。
偽の否定(false negative)とは、悪意のあるイベントまたはファイルが、誤って、安全であるとして分類されることを意味する。
不運にも、ここに記載されたヘクターを含む実施形態は、非常に有効であるので、ときどき、非常に多くの検出されたイベントが生成される。
ユーザーは、これらの結果を効果的にレビューすることができるように、結果を管理するためのツールを持っている必要がある。
示されたように、特性評価結果視覚化GUI50は、ユーザーが、特性評価結果視覚化GUI50によって表示された結果にフィルタをかけることを可能にするフィルタツールに、さまざまなフィルタを提供できる。
例えば、特性評価結果視覚化GUI50は、ファイル名、ファイルの種類、ソースのIPアドレス、ホストの名前、ターゲットのIPアドレス、分類された時間、分析器の特性評価または分類、ファイル名の暗号法のハッシュ機能(例えば、ファイル名の安全なハッシュアルゴリズム(SHA)-256ハッシュ)、ファイルサイズなどによって、結果にフィルタをかけることができる。
これらのフィルタによって、ユーザーは、結果をよりよく管理することができる。
One of the advantages of the network data characterization system and method described herein and the analyzer embodiments utilized, such as Hector, is that the risk of false negative is minimized. is there.
False negative means that a malicious event or file is mistakenly classified as safe.
Unfortunately, the embodiments that include the hector described herein are so effective that sometimes very many detected events are generated.
Users need to have tools to manage the results so that they can be reviewed effectively.
As shown, the characterization result visualization GUI 50 can provide a variety of filters to a filter tool that allows a user to filter the results displayed by the characterization result visualization GUI 50.
For example, the characterization result visualization GUI 50 can be used for file name, file type, source IP address, host name, target IP address, classified time, analyzer characterization or classification, file name cryptography The results can be filtered by hash function (eg, secure hash algorithm (SHA) -256 hash of file name), file size, etc.
These filters allow the user to better manage the results.
次に、図6の参照によって、特性評価または分類の結果視覚化GUI60が、フィルタをかけられた結果とともに、示される。
示された特性評価の結果は、ファイル名のSHA-256ハッシュによって、フィルタがかけられている。
言いかえれば、同じSHA-256ハッシュを持つそれらの特性評価結果だけがリストされる。
図示されるように、時間/日付スタンプ、宛先またはターゲットのIPアドレス、宛先ポート、ソースのIPアドレス、ソースポート、ホスト名(ホスト名は、未加工のネットワークデータパケットから引き出されうるソースのための名前である)がリストされ、ファイルに関する追加の研究知能が利用できるかどうか、ステータス(悪意、疑わしい、さらなるレビューが必要)、分析/特性評価の結果のグラフィカルな表示を示す。
特性評価の結果は、これらのカテゴリーのすべてによって、ソートできる。
Next, with reference to FIG. 6, a characterization or classification result visualization GUI 60 is shown along with the filtered results.
The characterization results shown are filtered by the SHA-256 hash of the file name.
In other words, only those characterization results that have the same SHA-256 hash are listed.
As shown, time / date stamp, destination or target IP address, destination port, source IP address, source port, host name (host name for source that can be derived from raw network data packet Is listed, and shows a graphical display of whether additional research intelligence is available for the file, status (malicious, suspicious, requires further review), and analysis / characterization results.
The characterization results can be sorted by all of these categories.
次に、図7A-7Bの参照によって、分類されたまたは特徴付けられたファイルの詳細視覚化GUI70が、示される。
分類されたファイルの詳細視覚化GUI70を見るために、特性評価結果視覚化GUI60に示した結果のうちのいずれかが選ばれる。
特徴付けられたファイルの詳細視覚化GUI70は、分類されたファイルの追加の詳細を描写し、ユーザーによって選ばれるより一層の行動のオプションを提供する。
例えば、詳細は、次のことを含んでもよい。
ファイルを悪意のあるものかまたは疑わしいものとして分類する分析器、ヘクター確信度パーセンテージ(例えば、企業または他のユーザーによって設定された確信度の閾値の表示を持つ棒グラフを示す)、ファイルメタデータ(例えば、ファイル名、ファイルの種類、関連した詳細の文字列(魔法のストリング“Magic String”)、ファイルサイズ、ファイルの暗号法のハッシュ(例えば、MD5およびSHA-256ハッシュ)、分類されたファイルが最も最近見られた時と最初に見られた時を含む)、最近の数日間を通して検出されているファイルの頻度を表示した棒グラフ、たとえば、ファイルのさらなるレビュー(内部、または外部に)、ファイルの隔離、ファイルの削除などの提案のような行動選択、ファイル詳細のダウンロード、(ユーザによるファイルレビューの)ステータスの設定、適用可能な分析器(すなわち、分類されたファイルを含んでいるメッセージに署名した分析器)を示す分析結果の概要とそれらの特性評価の結果(たとえば、無し(Yara)、マルウェア名の識別(ClamAV)、または確信度パーセンテージ(ヘクター))、次の分析におけるデータおよび他の知能、および、もしあれば分類されたファイルを含む最近のイベントのリスト。
Next, with reference to FIGS. 7A-7B, a detailed visualization GUI 70 of the classified or characterized file is shown.
In order to view the detailed visualization GUI 70 of the classified file, one of the results shown in the characteristic evaluation result visualization GUI 60 is selected.
The characterized file detail visualization GUI 70 depicts additional details of the categorized file and provides further action options chosen by the user.
For example, details may include the following.
Analyzer that classifies files as malicious or suspicious, Hector confidence percentage (eg, shows a bar graph with confidence threshold display set by a company or other user), file metadata (eg , File name, file type, string of associated details (magic string “Magic String”), file size, file cryptographic hash (eg MD5 and SHA-256 hash), most classified file Bar graphs showing the frequency of files detected over the last few days, including further review (internal or external), file quarantine, including when recently viewed and when first viewed) , Action selection like file deletion suggestion, file details download, (by user Set status for file review, summary of analysis results showing applicable analyzers (ie, analyzers who have signed messages containing classified files) and characterization results (for example, none (Yara ), Malware name identification (ClamAV), or confidence percentage (hectare)), data and other intelligence in the next analysis, and a list of recent events, including the classified files, if any.
図8の参照によって、ルール設定GUI80が示される。
ルールは、特性評価または分類の結果を管理するために、ユーザーが使用できる別のツールである。
例えば、図5と図6に示されたルールタブを選択することによって、どんな行動が取られるかを含めて、一定の特性評価の結果がどのように扱われるかを規定するルールを、ユーザーが定義することができる。
例えば、ユーザーは、例えば一定のホストまたはソースIPアドレスから、分類されたイベントのいずれかに適用するように、一定のパーセント以上のヘクターの確信度レベルを持ち、一定のファイル名を含み、一定のターゲットIPアドレスにアドレスを付与するルールのクエリ文字列を入力できる。
ユーザーは、クエリにマッチしているイベントを取り下げる(drop)こと、または、イベントのステータスを、信頼、未知、疑わしい、悪意、あるいは、さらなるレビューが必要として設定するように、取るべき行動の一定のタイプを定義することができる。
また、実施形態は、ユーザーがルールの即時の効果(impact)を見ることができるように、直ちにルールを処理し、ルール設定GUI80において、一定の期間の間(たとえば、以前の5日間)、新しいルールがマッチしていたであろうイベントの数を表示する。
With reference to FIG. 8, the rule setting GUI 80 is shown.
Rules are another tool that users can use to manage characterization or classification results.
For example, the user defines rules that define how certain characterization results are handled, including what actions are taken by selecting the rules tab shown in Figure 5 and Figure 6. can do.
For example, a user has a certainty hectare level of hectare over a certain percentage, for example, from a certain host or source IP address, and includes a certain filename, You can enter a query string for a rule that assigns an address to the target IP address.
The user can either drop an event that matches the query or set a certain status of action to be taken so that the status of the event is set to require trust, unknown, suspicious, malicious, or further review. A type can be defined.
The embodiment also processes the rule immediately so that the user can see the immediate impact of the rule, and in the rule configuration GUI 80, it is new for a certain period of time (eg, the previous 5 days). Displays the number of events that the rule would have matched.
ネットワークデータ特性評価のための方法とシステムの実施形態が提供する別のツールとしては、結果を正確に示す(ピンポイントする)能力である。
次に、図9A-9Eの参照によって、ピンポイントツールを持つ特性評価結果視覚化GUI90が示される。
ピンポイントツールは、ユーザーが、表示のために分類されたイベントの時間枠(time frame)(例えば、時間と日付の範囲)を選び、降順/昇順の分類方法によって、結果をソートし、表示された結果を制限し、様々なメタデータで結果にフィルタをかけ(上記参照)、たとえば、ホスト、インプットソースタイプ、ファイルタイプ、アプリケーションタイプ、分類方法(フラグ)、ドメインネーム、位置、時間、ファイルが「サインされた」(すなわち、証明書で、「信頼されている」機関からサインされた)ファイルか否かなどによって、結果をグループ化し、または、すべてのメタデータ、あるいは、特性評価の結果の特徴付け、あるいは、特性評価の結果に含まれることによって、結果をグループ化することを可能にする。
文字どおりに、ピンポイントツールは、特性評価の結果のメタデータの数百の選択と、結果をピンポイントし、結果をグループ化し、結果をソートするために使われる分類されたイベントとコンテンツの特徴付けとを提供する。
実際には、ピンポイントツール90は、分析器の結果ワークフローを示すためのツールである。
Another tool provided by embodiments of methods and systems for network data characterization is the ability to pinpoint results.
Next, referring to FIGS. 9A-9E, a characterization result visualization GUI 90 with a pinpoint tool is shown.
The pinpoint tool allows the user to select a time frame (for example, a time and date range) of events that have been classified for display, and sort and display the results using a descending / ascending classification method. Filter results by various metadata (see above), eg host, input source type, file type, application type, classification method (flag), domain name, location, time, file Group the results by whether they are “signed” (ie, certificates, signed from a “trusted” authority), or all metadata or characterization results Included in the results of characterization or characterization allows the results to be grouped.
Literally, the pinpoint tool characterizes the categorized events and content used to select hundreds of characterization result metadata and to pinpoint the results, group the results, and sort the results And provide.
Actually, the pinpoint tool 90 is a tool for showing the result workflow of the analyzer.
特性評価結果視覚化GUIにリストされたイベント特性評価の結果は、フィルタをかけられて、ピンポイントツール90の選択に基づいてリストされる。
さらに、ピンポイントツール90は、動作されたとき、ピンポイントの選択の結果をリストする。
例えば、図9Bに示すように、ピンポイントのツールは、ホストにより検出されて分類されたイベントの数をリストし、どのようにそれらのイベントが分類されたかを示す(適切なフラグによって)。
図示された例では、最も多くの特性評価の結果を持つホストは、bluvector.cli.injectである。
そのホストは、安全としてフラグが付けられた551個のイベントを持ち、未知としてフラグが付けられた4401個のイベントを持ち、疑わしいとしてフラグが付けられた31個のイベントを持ち、悪意があるとしてフラグが付けられた275個のイベントを持つ。
ユーザーは、フラグが付けられたイベントのインプットソースタイプ、たとえば、HTTP、CLI_INJECT、SMTP、およびFTPを示すために、例えば与えられたホストの下に示すように、ピンポイントの結果リストを展開することができる。
同様に、図9Cに示すように、ユーザーは、ファイルのタイプ(たとえば、画像ファイル、cdf、html、jar、elf、pe32、pdf、dos、apkなど)を示すために、例えば与えられたインプットソースタイプの下に、ピンポイントの結果リストを展開することができる。
同様に、示すように、ユーザーは、ファイルを分類した分析器(たとえば、ClamAV、Hector、Yaraなど)を示すために、例えば与えられたファイルタイプの下に、ピンポイントの結果リストを展開することができる。
図9Dに示すように、ピンポイントツールは、異なるカテゴリーが最初のグループ分けとして使われるように、ユーザーが、グループ分けの順序を変更することを可能にする。
例えば、インプットソースタイプ(例えばmeta.app)が、最初のグループ分けとして使われて、インプットソースタイプ(例えば、http、null、cli_inject、gui_upload、smtp、ftp)が、他の情報を得るために展開される。
The results of the event characterization listed in the characterization result visualization GUI are filtered and listed based on the pinpoint tool 90 selection.
Further, the pinpoint tool 90, when operated, lists the results of the pinpoint selection.
For example, as shown in FIG. 9B, the pinpoint tool lists the number of events detected and classified by the host and indicates how those events were classified (with appropriate flags).
In the example shown, the host with the most characterization results is bluvector.cli.inject.
The host has 551 events flagged as safe, 4401 events flagged as unknown, 31 events flagged as suspicious, and malicious Has 275 events flagged.
The user can expand the pinpoint results list, as shown for example under a given host, to indicate the input source type of the flagged event, for example, HTTP, CLI_INJECT, SMTP, and FTP Can do.
Similarly, as shown in FIG. 9C, the user can provide a given input source, for example, to indicate the type of file (eg, image file, cdf, html, jar, elf, pe32, pdf, dos, apk, etc.) Below the type, you can expand the pinpoint results list.
Similarly, as shown, the user can expand the pinpoint results list, eg, under a given file type, to show the analyzer that classified the file (eg, ClamAV, Hector, Yara, etc.) Can do.
As shown in FIG. 9D, the pinpoint tool allows the user to change the grouping order so that different categories are used for the initial grouping.
For example, the input source type (eg meta.app) is used as the first grouping and the input source type (eg http, null, cli_inject, gui_upload, smtp, ftp) is expanded to get other information Is done.
上記したように、ピンポイントツール90は、分析器による特性評価の結果を提供したメタデータのいずれかに基づいて、結果を正確に示す(ピンポイントする)ことができる。
図9Eの参照によって、ファイルで使われた言語に基づいて、結果をグループ分けするために設定されたピンポイントツール90が示される。
分析器が、いつも使用された言語を決定することができるわけではないが、もし言語が決定できる場合は、ネットワークデータ特性評価のための方法とシステムの実施形態は、言語に基づいて、結果にフィルターをかけ、結果のグループ分けができる。
例えば、図示されるように、英語、ロシア語、または中国語を使っている結果が表示できる。 未知の言語の結果は、ニュートラル(neutral)としてグループ化してもよい。
これは、特に、企業が、一定の国または領域に端を発する脅威に気づいているか、または第一に一定の国または領域に端を発する脅威に関係する時に、有益である。
また、ピンポイントツールは、一定の署名(すなわち、例えばPEScannerによって検出されて以前に確認されたマルウェア署名)を含む結果によって、または、一定の分析器だけにより検出された結果によって、フィルターをかけ、グループ分けをしてもよい。
As described above, the pinpoint tool 90 can accurately indicate (pinpoint) the results based on any of the metadata that provided the results of the characterization by the analyzer.
With reference to FIG. 9E, a pinpoint tool 90 set up to group the results based on the language used in the file is shown.
The analyzer may not be able to determine the language that was used all the time, but if the language can be determined, then embodiments of methods and systems for network data characterization will be based on the language. Filter and group results.
For example, as shown, results using English, Russian, or Chinese can be displayed. Unknown language results may be grouped as neutral.
This is particularly beneficial when an enterprise is aware of a threat that originates in a certain country or region or is primarily concerned with a threat that originates in a certain country or region.
The pinpoint tool also filters by results that include certain signatures (ie, malware signatures that have been detected previously, eg, detected by PEScanner) or by results that are detected only by certain analyzers, It may be divided into groups.
ネットワークデータ特性評価のための方法とシステムの実施形態の最も強力な面のうちの1つは、それらがマシン学習分析器(例えばヘクターなど)の結果の有用性と有効性を大いに増加させることである。
図10の参照によって、ファイルのタイプによって分類されたファイルをソートし、マシン学習分析器により様々な特性評価確信度パーセンテージの範囲に分類されたそのタイプのファイルの数を示しているヒストグラムを表示する特性評価信頼GUI100が示される。
新しくする(リフレッシュする)ために、確信度パーセンテージとは、マシン学習分析器によって決定されるように、ファイルが悪意のあるものであるという百分率の確信度のことである。
また、信頼GUI100は、個々のファイルタイプのために設定された閾値と、その閾値を超える確信度パーセンテージを持つそのファイルタイプのファイル数と、ヒット率パーセンテージ(ファイルタイプのファイル数を、ファイルの全数によって除算した確信度パーセンテージを超えるファイルのパーセンテージ)とを表示している。
信頼GUI100は、ユーザーが、結果の数とパーセンテージを視覚化し、かつ、閾値が高すぎるかまたは低すぎるかどうかを決定するのに、役立つ。
One of the most powerful aspects of method and system embodiments for network data characterization is that they greatly increase the usefulness and effectiveness of the results of machine learning analyzers (eg, hectares). is there.
With reference to FIG. 10, the files sorted by file type are sorted and a histogram is displayed showing the number of files of that type sorted by the machine learning analyzer into various characterization confidence percentage ranges. A characterization trust GUI 100 is shown.
To be refreshed, the confidence percentage is the percentage confidence that the file is malicious, as determined by the machine learning analyzer.
The trust GUI 100 also sets the threshold set for each file type, the number of files of that file type that have a certainty percentage that exceeds that threshold, and the hit rate percentage (the number of files of the file type, the total number of files The percentage of files that exceed the confidence percentage divided by.
The trust GUI 100 helps the user to visualize the number and percentage of results and determine whether the threshold is too high or too low.
次に、図11A-11Bの参照によって、確信度パーセンテージの閾値を設定するためのコンフィギュレーションGUI110が、ファイルのタイプ別に、示される。
図示されるように、閾値は、スライダーバー(slider bar)上に、設定できる。
実施形態は、ファイルタイプごとに、1つの推奨された閾値の設定を提供している。
この推奨された閾値設定は、マシン学習分析器によって決定できる。
例えば、ポスト分析結果は、後に、別々に確認されたマルウェアの確信度パーセンテージを示すマシン学習分析器にフィードバックすることができる。
これらの結果は、推奨された閾値を設定するために、実施形態によって用いられうる。
異なる構成(コンフィギュレーション)、閾値を設定し、分析器の結果の視覚化を別の方法で行うこの能力は、システムを、アナリストの仕事量の能力に合わせることを非常に容易にする。
図11Aに示すように、コンフィギュレーションGUI110は、閾値パーセンテージを超えてフラグが付けられ与えられたタイプのファイルのパーセンテージだけでなく、現在の閾値設定(コンフィギュレーション)を使ってフラグが付けられた1日当たりのファイルの数を示すことができる。
もし、閾値パーセンテージの設定が変更されるならば、コンフィギュレーションGUI110は、図11Bに示すように、新しい閾値パーセンテージを超えてフラグが付けられ与えられたタイプのファイルのパーセンテージだけでなく、新しい閾値設定を使ってフラグが付けられるであろう1日当たりのファイルの予測された数を示すことができる。
この情報は、ユーザーが、どんな閾値パーセンテージがユーザーの企業に有益であるかを決定することを可能にすることができる。
また、図11A-11B において見ることができるように、ユーザーは、コンフィギュレーションGUI110において、分析器が署名するファイルタイプを、選択(select)するか、または選択解除(deselect)をすることもできる。
これらの選択により、どのファイルタイプが、そのタイプの分析器に転送(ルーティング)されるかを決定する(上記した図1-2を参照)。
Next, with reference to FIGS. 11A-11B, a configuration GUI 110 for setting a threshold of confidence percentage is shown for each file type.
As shown, the threshold can be set on a slider bar.
Embodiments provide one recommended threshold setting for each file type.
This recommended threshold setting can be determined by a machine learning analyzer.
For example, the post-analysis results can later be fed back to a machine learning analyzer that indicates the confidence percentage of separately confirmed malware.
These results can be used by embodiments to set a recommended threshold.
This ability to set different configurations, thresholds and visualize the results of the analyzer in another way makes it very easy to adapt the system to analyst workload capabilities.
As shown in FIG. 11A, the configuration GUI 110 is flagged with the current threshold setting (configuration) as well as the percentage of the file of the given type flagged beyond the threshold percentage. Can show the number of files per day.
If the threshold percentage setting is changed, the configuration GUI 110 will flag the new threshold percentage as well as the percentage of the given type of file flagged beyond the new threshold percentage, as shown in FIG. 11B. Can be used to indicate the expected number of files per day that will be flagged.
This information can allow the user to determine what threshold percentage is beneficial to the user's enterprise.
Also, as can be seen in FIGS. 11A-11B, the user can also select or deselect the file type that the analyzer will sign in the configuration GUI 110.
These choices determine which file types are transferred (routed) to that type of analyzer (see Figure 1-2 above).
当該技術分野における通常の技術を有する者は、この発明の精神と範囲を逸脱することなく、様々な修正と変更が、上記に記載された実施形態になし得ることを認識するであろう。
従って、この発明は、上記に開示された特定の実施形態に制限されず、以下のクレームにより定義されるような修正と変形を包含することを意図していることを理解するべきである。
Those having ordinary skill in the art will recognize that various modifications and changes can be made to the embodiments described above without departing from the spirit and scope of the invention.
Accordingly, it should be understood that the invention is not limited to the specific embodiments disclosed above, but is intended to encompass modifications and variations as defined by the following claims.
Claims (22)
データメッセージのうちの少なくともいくつかが、前記コンテンツと、イベントおよび前記コンテンツを記述しているメタデータとを含むデータメッセージに、前記受信したコンテンツを変換し、;
個々の分析器が署名する特定のメッセージ基準に基づいて、前記データメッセージを複数の分析器に転送し;
前記コンテンツを特徴付けるために、データメッセージ内のコンテンツを分析する前記転送されたデータメッセージを受信する、前記1つ以上の分析器のうちのそれぞれが、
コンテンツが悪意のあるものであるという可能性、あるいは、コンテンツが悪意のあるものであるという予測が正しいという確実性を示す確信度パーセンテージによってコンテンツを分類する少なくとも1つのマシン学習分析器を含み;
前記1つ以上の分析器の特性評価の結果を出力し;および
前記特性評価の結果に基づいて取るべきその後の行動を決定するために、前記出力された特性評価の結果と、複数の基準とを比較する、
ネットワークデータ特性評価のためのコンピュータに実装された方法。 At least some of the network events receive network events including content;
Converting the received content into a data message, wherein at least some of the data messages include the content and metadata describing the event and the content;
Forwarding the data message to multiple analyzers based on specific message criteria signed by individual analyzers;
Each of the one or more analyzers receiving the forwarded data message analyzing content in a data message to characterize the content;
Including at least one machine learning analyzer that classifies content by a confidence percentage that indicates the likelihood that the content is malicious or that the prediction that the content is malicious is correct;
Outputting a result of the characterization of the one or more analyzers; and determining the subsequent action to be taken based on the result of the characterization, a plurality of criteria, Compare,
A computer-implemented method for network data characterization.
HTTP、FTP、およびSMTPデータ供給装置を含む1つ以上のネットワークデータ供給装置からネットワークデータを受信することを含む請求項1の方法。 Receiving the network event;
The method of claim 1, comprising receiving network data from one or more network data supply devices including HTTP, FTP, and SMTP data supply devices.
アップロードされたコンテンツを、コマンドラインインタフェースまたはグラフィカル・ユーザ・インタフェースから受信することを含む請求項1の方法。 Receiving the network event;
The method of claim 1, comprising receiving uploaded content from a command line interface or a graphical user interface.
ネットワークトラフィックを修正すること、あるいは、前記分類されたコンテンツを外部の分析器に転送することを含む請求項1の方法。 Subsequent actions are to store the classified content and characterization metadata,
The method of claim 1, comprising modifying network traffic, or forwarding the classified content to an external analyzer.
前記メモリは、1つ以上のプロセッサによる以下の処理の実行のための命令を含み:
実行される処理は、
ネットワークイベントのうちの少なくともいくつかのイベントがコンテンツを含むネットワークイベントを受信し、;
データメッセージのうちの少なくともいくつかが、前記コンテンツと、イベントおよび前記コンテンツを記述しているメタデータとを含むデータメッセージに、前記受信したコンテンツを変換し、;
個々の分析器が署名する特定のメッセージ基準に基づいて、前記データメッセージを複数の分析器に転送し;
前記コンテンツを特徴付けるために、データメッセージ内のコンテンツを分析する前記転送されたデータメッセージを受信する、前記1つ又はそれ以上の分析器のうちのそれぞれが、コンテンツが悪意のあるものであるという可能性、あるいは、コンテンツが悪意のあるものであるという予測が正しいという確実性を示す確信度パーセンテージによってコンテンツを分類する少なくとも1つのマシン学習分析器を含み;
前記1つ以上のマシン学習分析器の特性評価の結果を出力し;および
前記特性評価の結果に基づいて取るべきその後の行動を決定するために、前記出力された特性評価の結果と、複数の基準とを比較することであるネットワークデータ特性評価のためのシステム。 With one or more characterization sensors including one or more processors and memory,
The memory includes instructions for execution of the following processes by one or more processors:
The processing performed is
At least some of the network events receive network events including content;
Converting the received content into a data message, wherein at least some of the data messages include the content and metadata describing the event and the content;
Forwarding the data message to multiple analyzers based on specific message criteria signed by individual analyzers;
Each of the one or more analyzers that receive the forwarded data message that analyzes the content in the data message to characterize the content may be that the content is malicious Including at least one machine learning analyzer that classifies content by a percentage of confidence indicating gender or certainty that the prediction that the content is malicious is correct;
Outputting the characterization results of the one or more machine learning analyzers; and a plurality of the characterization results output to determine subsequent actions to be taken based on the characterization results; A system for network data characterization that is to compare with criteria.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2021117274A JP7274535B2 (en) | 2014-11-21 | 2021-07-15 | System and method for network data characterization |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201462083090P | 2014-11-21 | 2014-11-21 | |
US62/083,090 | 2014-11-21 | ||
PCT/US2015/060820 WO2016081346A1 (en) | 2014-11-21 | 2015-11-16 | System and method for network data characterization |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021117274A Division JP7274535B2 (en) | 2014-11-21 | 2021-07-15 | System and method for network data characterization |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2018506808A true JP2018506808A (en) | 2018-03-08 |
JP2018506808A5 JP2018506808A5 (en) | 2018-09-13 |
JP6916112B2 JP6916112B2 (en) | 2021-08-11 |
Family
ID=54754783
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017545854A Active JP6916112B2 (en) | 2014-11-21 | 2015-11-16 | Network data characterization system and method |
JP2021117274A Active JP7274535B2 (en) | 2014-11-21 | 2021-07-15 | System and method for network data characterization |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2021117274A Active JP7274535B2 (en) | 2014-11-21 | 2021-07-15 | System and method for network data characterization |
Country Status (4)
Country | Link |
---|---|
US (1) | US9832216B2 (en) |
EP (1) | EP3222024A1 (en) |
JP (2) | JP6916112B2 (en) |
WO (1) | WO2016081346A1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20200070775A (en) * | 2018-12-10 | 2020-06-18 | 한국전자통신연구원 | Apparatus and method for normalizing security information of heterogeneous systems |
Families Citing this family (53)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10902114B1 (en) * | 2015-09-09 | 2021-01-26 | ThreatQuotient, Inc. | Automated cybersecurity threat detection with aggregation and analysis |
RU2634211C1 (en) | 2016-07-06 | 2017-10-24 | Общество с ограниченной ответственностью "Траст" | Method and system of protocols analysis of harmful programs interaction with control centers and detection of computer attacks |
US10701086B1 (en) * | 2016-07-28 | 2020-06-30 | SlashNext, Inc. | Methods and systems for detecting malicious servers |
RU2649793C2 (en) | 2016-08-03 | 2018-04-04 | ООО "Группа АйБи" | Method and system of detecting remote connection when working on web resource pages |
RU2634209C1 (en) | 2016-09-19 | 2017-10-24 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | System and method of autogeneration of decision rules for intrusion detection systems with feedback |
US10691795B2 (en) * | 2016-10-24 | 2020-06-23 | Certis Cisco Security Pte Ltd | Quantitative unified analytic neural networks |
US10354173B2 (en) * | 2016-11-21 | 2019-07-16 | Cylance Inc. | Icon based malware detection |
US10367703B2 (en) * | 2016-12-01 | 2019-07-30 | Gigamon Inc. | Analysis of network traffic rules at a network visibility node |
RU2637477C1 (en) | 2016-12-29 | 2017-12-04 | Общество с ограниченной ответственностью "Траст" | System and method for detecting phishing web pages |
RU2671991C2 (en) | 2016-12-29 | 2018-11-08 | Общество с ограниченной ответственностью "Траст" | System and method for collecting information for detecting phishing |
US20180205611A1 (en) * | 2017-01-13 | 2018-07-19 | Gigamon Inc. | Network enumeration at a network visibility node |
US10764313B1 (en) * | 2017-01-24 | 2020-09-01 | SlashNext, Inc. | Method and system for protection against network-based cyber threats |
US20180255099A1 (en) * | 2017-03-02 | 2018-09-06 | Microsoft Technology Licensing, Llc | Security and compliance alerts based on content, activities, and metadata in cloud |
US11615326B2 (en) | 2017-03-05 | 2023-03-28 | Cyberint Technologies Ltd. | Digital MDR (managed detection and response) analysis |
US10798112B2 (en) | 2017-03-30 | 2020-10-06 | Fireeye, Inc. | Attribute-controlled malware detection |
WO2018182885A1 (en) * | 2017-03-30 | 2018-10-04 | Mcafee, Llc | Secure software defined storage |
US10848397B1 (en) * | 2017-03-30 | 2020-11-24 | Fireeye, Inc. | System and method for enforcing compliance with subscription requirements for cyber-attack detection service |
US10791138B1 (en) | 2017-03-30 | 2020-09-29 | Fireeye, Inc. | Subscription-based malware detection |
US10419377B2 (en) * | 2017-05-31 | 2019-09-17 | Apple Inc. | Method and system for categorizing instant messages |
EP3477522B1 (en) * | 2017-10-30 | 2020-12-09 | VirusTotal SLU | Scanning files using antivirus software |
RU2689816C2 (en) | 2017-11-21 | 2019-05-29 | ООО "Группа АйБи" | Method for classifying sequence of user actions (embodiments) |
US10567156B2 (en) | 2017-11-30 | 2020-02-18 | Bank Of America Corporation | Blockchain-based unexpected data detection |
US10666666B1 (en) * | 2017-12-08 | 2020-05-26 | Logichub, Inc. | Security intelligence automation platform using flows |
US10735272B1 (en) | 2017-12-08 | 2020-08-04 | Logichub, Inc. | Graphical user interface for security intelligence automation platform using flows |
RU2668710C1 (en) | 2018-01-17 | 2018-10-02 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Computing device and method for detecting malicious domain names in network traffic |
RU2680736C1 (en) | 2018-01-17 | 2019-02-26 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Malware files in network traffic detection server and method |
RU2677361C1 (en) * | 2018-01-17 | 2019-01-16 | Общество с ограниченной ответственностью "Траст" | Method and system of decentralized identification of malware programs |
RU2676247C1 (en) | 2018-01-17 | 2018-12-26 | Общество С Ограниченной Ответственностью "Группа Айби" | Web resources clustering method and computer device |
RU2677368C1 (en) | 2018-01-17 | 2019-01-16 | Общество С Ограниченной Ответственностью "Группа Айби" | Method and system for automatic determination of fuzzy duplicates of video content |
US10805341B2 (en) | 2018-02-06 | 2020-10-13 | Cisco Technology, Inc. | Leveraging point inferences on HTTP transactions for HTTPS malware detection |
RU2681699C1 (en) | 2018-02-13 | 2019-03-12 | Общество с ограниченной ответственностью "Траст" | Method and server for searching related network resources |
US11290479B2 (en) * | 2018-08-11 | 2022-03-29 | Rapid7, Inc. | Determining insights in an electronic environment |
US11641406B2 (en) * | 2018-10-17 | 2023-05-02 | Servicenow, Inc. | Identifying applications with machine learning |
RU2708508C1 (en) | 2018-12-17 | 2019-12-09 | Общество с ограниченной ответственностью "Траст" | Method and a computing device for detecting suspicious users in messaging systems |
US20220035910A1 (en) * | 2018-12-19 | 2022-02-03 | Hewlett-Packard Development Company, L.P. | Security detection analytics |
RU2701040C1 (en) | 2018-12-28 | 2019-09-24 | Общество с ограниченной ответственностью "Траст" | Method and a computer for informing on malicious web resources |
WO2020176005A1 (en) | 2019-02-27 | 2020-09-03 | Общество С Ограниченной Ответственностью "Группа Айби" | Method and system for identifying a user according to keystroke dynamics |
US11418524B2 (en) * | 2019-05-07 | 2022-08-16 | SecureworksCorp. | Systems and methods of hierarchical behavior activity modeling and detection for systems-level security |
US10623423B1 (en) * | 2019-06-06 | 2020-04-14 | Sift Science, Inc. | Systems and methods for intelligently implementing a machine learning-based digital threat mitigation service |
CN110460611B (en) * | 2019-08-16 | 2022-01-11 | 国家计算机网络与信息安全管理中心 | Machine learning-based full-flow attack detection technology |
RU2728498C1 (en) | 2019-12-05 | 2020-07-29 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Method and system for determining software belonging by its source code |
RU2728497C1 (en) | 2019-12-05 | 2020-07-29 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Method and system for determining belonging of software by its machine code |
RU2743974C1 (en) | 2019-12-19 | 2021-03-01 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | System and method for scanning security of elements of network architecture |
SG10202001963TA (en) | 2020-03-04 | 2021-10-28 | Group Ib Global Private Ltd | System and method for brand protection based on the search results |
US11461679B2 (en) | 2020-03-27 | 2022-10-04 | EMC IP Holding Company LLC | Message management using machine learning techniques |
US11475090B2 (en) | 2020-07-15 | 2022-10-18 | Group-Ib Global Private Limited | Method and system for identifying clusters of affiliated web resources |
RU2743619C1 (en) | 2020-08-06 | 2021-02-20 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Method and system for generating the list of compromise indicators |
US11799904B2 (en) * | 2020-12-10 | 2023-10-24 | Cisco Technology, Inc. | Malware detection using inverse imbalance subspace searching |
US11947572B2 (en) | 2021-03-29 | 2024-04-02 | Group IB TDS, Ltd | Method and system for clustering executable files |
NL2030861B1 (en) | 2021-06-01 | 2023-03-14 | Trust Ltd | System and method for external monitoring a cyberattack surface |
RU2769075C1 (en) | 2021-06-10 | 2022-03-28 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | System and method for active detection of malicious network resources |
US20230169072A1 (en) * | 2021-11-30 | 2023-06-01 | Sap Se | Augmented query validation and realization |
CN114615260B (en) * | 2022-05-12 | 2022-09-16 | 广州市保伦电子有限公司 | Cloud service resource transmission oriented method |
Citations (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003067399A (en) * | 2001-08-27 | 2003-03-07 | Nec Corp | Method of extracting classified data from audio signal, method of expressing audio signal for mechanical learning, recording medium, and device |
JP2006506853A (en) * | 2002-11-07 | 2006-02-23 | ティッピングポイント テクノロジーズ インコーポレイテッド | Active network defense system and method |
US20070169194A1 (en) * | 2004-12-29 | 2007-07-19 | Church Christopher A | Threat scoring system and method for intrusion detection security networks |
JP2008529105A (en) * | 2004-11-04 | 2008-07-31 | ヴェリセプト コーポレーション | Method, apparatus and system for clustering and classification |
JP2010287135A (en) * | 2009-06-12 | 2010-12-24 | Usho Mo | Data classification device, data classification method and program making computer execute the method |
JP2011044064A (en) * | 2009-08-24 | 2011-03-03 | Nikon Corp | Image processing device and image processing program |
JP2012114719A (en) * | 2010-11-25 | 2012-06-14 | Kddi Corp | Detection device, detection method, and detection program |
WO2013073504A1 (en) * | 2011-11-15 | 2013-05-23 | 独立行政法人科学技術振興機構 | Program analysis/verification service provision system, control method for same, control program, control program for directing computer to function, program analysis/verification device, program analysis/verification tool management device |
JP2014504399A (en) * | 2010-12-01 | 2014-02-20 | ソースファイア インコーポレイテッド | How to detect malicious software using contextual probabilities, generic signatures, and machine learning methods |
JP2014106856A (en) * | 2012-11-29 | 2014-06-09 | Kyushu Institute Of Technology | Image recognition method and image recognition device |
WO2014122662A1 (en) * | 2013-02-10 | 2014-08-14 | Cyber Active Security Ltd. | Method and product for providing a predictive security product and evaluating existing security products |
Family Cites Families (97)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5675711A (en) | 1994-05-13 | 1997-10-07 | International Business Machines Corporation | Adaptive statistical regression and classification of data strings, with application to the generic detection of computer viruses |
US5730525A (en) | 1996-05-24 | 1998-03-24 | Browne & Co. Ltd. | Milk shake machine |
US6141241A (en) | 1998-06-23 | 2000-10-31 | Energy Conversion Devices, Inc. | Universal memory element with systems employing same and apparatus and method for reading, writing and programming same |
US7065657B1 (en) | 1999-08-30 | 2006-06-20 | Symantec Corporation | Extensible intrusion detection system |
US7072876B1 (en) | 2000-09-19 | 2006-07-04 | Cigital | System and method for mining execution traces with finite automata |
US7487544B2 (en) | 2001-07-30 | 2009-02-03 | The Trustees Of Columbia University In The City Of New York | System and methods for detection of new malicious executables |
US7107617B2 (en) | 2001-10-15 | 2006-09-12 | Mcafee, Inc. | Malware scanning of compressed computer files |
US7269851B2 (en) | 2002-01-07 | 2007-09-11 | Mcafee, Inc. | Managing malware protection upon a computer network |
US7448084B1 (en) | 2002-01-25 | 2008-11-04 | The Trustees Of Columbia University In The City Of New York | System and methods for detecting intrusions in a computer system by monitoring operating system registry accesses |
US8171551B2 (en) | 2003-04-01 | 2012-05-01 | Mcafee, Inc. | Malware detection using external call characteristics |
GB2400933B (en) | 2003-04-25 | 2006-11-22 | Messagelabs Ltd | A method of, and system for, heuristically detecting viruses in executable code by detecting files which have been maliciously altered |
US20050015606A1 (en) | 2003-07-17 | 2005-01-20 | Blamires Colin John | Malware scanning using a boot with a non-installed operating system and download of malware detection files |
US7257842B2 (en) | 2003-07-21 | 2007-08-14 | Mcafee, Inc. | Pre-approval of computer files during a malware detection |
US20050262567A1 (en) | 2004-05-19 | 2005-11-24 | Itshak Carmona | Systems and methods for computer security |
US7519998B2 (en) | 2004-07-28 | 2009-04-14 | Los Alamos National Security, Llc | Detection of malicious computer executables |
US7484247B2 (en) | 2004-08-07 | 2009-01-27 | Allen F Rozman | System and method for protecting a computer system from malicious software |
US8037535B2 (en) | 2004-08-13 | 2011-10-11 | Georgetown University | System and method for detecting malicious executable code |
US10043008B2 (en) | 2004-10-29 | 2018-08-07 | Microsoft Technology Licensing, Llc | Efficient white listing of user-modifiable files |
US8719924B1 (en) | 2005-03-04 | 2014-05-06 | AVG Technologies N.V. | Method and apparatus for detecting harmful software |
US8453242B2 (en) | 2005-08-12 | 2013-05-28 | Ca, Inc. | System and method for scanning handles |
US8161548B1 (en) | 2005-08-15 | 2012-04-17 | Trend Micro, Inc. | Malware detection using pattern classification |
US7756834B2 (en) | 2005-11-03 | 2010-07-13 | I365 Inc. | Malware and spyware attack recovery system and method |
US8234361B2 (en) | 2006-01-13 | 2012-07-31 | Fortinet, Inc. | Computerized system and method for handling network traffic |
US7450005B2 (en) | 2006-01-18 | 2008-11-11 | International Business Machines Corporation | System and method of dynamically weighted analysis for intrusion decision-making |
US7937758B2 (en) | 2006-01-25 | 2011-05-03 | Symantec Corporation | File origin determination |
US7657546B2 (en) | 2006-01-26 | 2010-02-02 | International Business Machines Corporation | Knowledge management system, program product and method |
WO2007117636A2 (en) | 2006-04-06 | 2007-10-18 | Smobile Systems, Inc. | Malware detection system and method for comprssed data on mobile platforms |
US20070266421A1 (en) | 2006-05-12 | 2007-11-15 | Redcannon, Inc. | System, method and computer program product for centrally managing policies assignable to a plurality of portable end-point security devices over a network |
US20140373144A9 (en) | 2006-05-22 | 2014-12-18 | Alen Capalik | System and method for analyzing unauthorized intrusion into a computer network |
US7870394B2 (en) | 2006-05-26 | 2011-01-11 | Symantec Corporation | Method and system to scan firmware for malware |
US8220048B2 (en) | 2006-08-21 | 2012-07-10 | Wisconsin Alumni Research Foundation | Network intrusion detector with combined protocol analyses, normalization and matching |
US8789172B2 (en) | 2006-09-18 | 2014-07-22 | The Trustees Of Columbia University In The City Of New York | Methods, media, and systems for detecting attack on a digital processing device |
US8201244B2 (en) | 2006-09-19 | 2012-06-12 | Microsoft Corporation | Automated malware signature generation |
GB2444514A (en) | 2006-12-04 | 2008-06-11 | Glasswall | Electronic file re-generation |
US8091127B2 (en) | 2006-12-11 | 2012-01-03 | International Business Machines Corporation | Heuristic malware detection |
US8250655B1 (en) | 2007-01-12 | 2012-08-21 | Kaspersky Lab, Zao | Rapid heuristic method and system for recognition of similarity between malware variants |
US7873583B2 (en) | 2007-01-19 | 2011-01-18 | Microsoft Corporation | Combining resilient classifiers |
US8364617B2 (en) | 2007-01-19 | 2013-01-29 | Microsoft Corporation | Resilient classification of data |
IL181426A (en) | 2007-02-19 | 2011-06-30 | Deutsche Telekom Ag | Automatic extraction of signatures for malware |
US20080201778A1 (en) | 2007-02-21 | 2008-08-21 | Matsushita Electric Industrial Co., Ltd. | Intrusion detection using system call monitors on a bayesian network |
US8312546B2 (en) | 2007-04-23 | 2012-11-13 | Mcafee, Inc. | Systems, apparatus, and methods for detecting malware |
US8099785B1 (en) | 2007-05-03 | 2012-01-17 | Kaspersky Lab, Zao | Method and system for treatment of cure-resistant computer malware |
US20090013405A1 (en) | 2007-07-06 | 2009-01-08 | Messagelabs Limited | Heuristic detection of malicious code |
US8019700B2 (en) | 2007-10-05 | 2011-09-13 | Google Inc. | Detecting an intrusive landing page |
US20090172979A1 (en) | 2008-01-06 | 2009-07-09 | Andy Kaoh | Displaying gain structure for an electornic nameplate |
US8448218B2 (en) | 2008-01-17 | 2013-05-21 | Josep Bori | Method and apparatus for a cryptographically assisted computer system designed to deter viruses and malware via enforced accountability |
US8719936B2 (en) | 2008-02-01 | 2014-05-06 | Northeastern University | VMM-based intrusion detection system |
US20090241194A1 (en) | 2008-03-21 | 2009-09-24 | Andrew James Thomas | Virtual machine configuration sharing between host and virtual machines and between virtual machines |
US7472420B1 (en) | 2008-04-23 | 2008-12-30 | Kaspersky Lab, Zao | Method and system for detection of previously unknown malware components |
IL191744A0 (en) | 2008-05-27 | 2009-02-11 | Yuval Elovici | Unknown malcode detection using classifiers with optimal training sets |
US20090313700A1 (en) | 2008-06-11 | 2009-12-17 | Jefferson Horne | Method and system for generating malware definitions using a comparison of normalized assembly code |
US8234709B2 (en) | 2008-06-20 | 2012-07-31 | Symantec Operating Corporation | Streaming malware definition updates |
US8196203B2 (en) | 2008-09-25 | 2012-06-05 | Symantec Corporation | Method and apparatus for determining software trustworthiness |
US8561180B1 (en) | 2008-10-29 | 2013-10-15 | Symantec Corporation | Systems and methods for aiding in the elimination of false-positive malware detections within enterprises |
US8181251B2 (en) | 2008-12-18 | 2012-05-15 | Symantec Corporation | Methods and systems for detecting malware |
US8635694B2 (en) | 2009-01-10 | 2014-01-21 | Kaspersky Lab Zao | Systems and methods for malware classification |
US20100192222A1 (en) | 2009-01-23 | 2010-07-29 | Microsoft Corporation | Malware detection using multiple classifiers |
IL197477A0 (en) | 2009-03-08 | 2009-12-24 | Univ Ben Gurion | System and method for detecting new malicious executables, based on discovering and monitoring of characteristic system call sequences |
US8276202B1 (en) | 2009-06-30 | 2012-09-25 | Aleksandr Dubrovsky | Cloud-based gateway security scanning |
US8015284B1 (en) | 2009-07-28 | 2011-09-06 | Symantec Corporation | Discerning use of signatures by third party vendors |
US8478708B1 (en) | 2009-07-30 | 2013-07-02 | Zscaler, Inc. | System and method for determining risk posed by a web user |
US8635171B1 (en) | 2009-08-17 | 2014-01-21 | Symantec Corporation | Systems and methods for reducing false positives produced by heuristics |
US8190647B1 (en) | 2009-09-15 | 2012-05-29 | Symantec Corporation | Decision tree induction that is sensitive to attribute computational complexity |
US8832829B2 (en) | 2009-09-30 | 2014-09-09 | Fireeye, Inc. | Network-based binary file extraction and analysis for malware detection |
US8590045B2 (en) | 2009-10-07 | 2013-11-19 | F-Secure Oyj | Malware detection by application monitoring |
US8719939B2 (en) | 2009-12-31 | 2014-05-06 | Mcafee, Inc. | Malware detection via reputation system |
US8578497B2 (en) | 2010-01-06 | 2013-11-05 | Damballa, Inc. | Method and system for detecting malware |
US8401982B1 (en) | 2010-01-14 | 2013-03-19 | Symantec Corporation | Using sequencing and timing information of behavior events in machine learning to detect malware |
US8341745B1 (en) | 2010-02-22 | 2012-12-25 | Symantec Corporation | Inferring file and website reputations by belief propagation leveraging machine reputation |
US8667593B1 (en) | 2010-05-11 | 2014-03-04 | Re-Sec Technologies Ltd. | Methods and apparatuses for protecting against malicious software |
US8584241B1 (en) | 2010-08-11 | 2013-11-12 | Lockheed Martin Corporation | Computer forensic system |
US8413235B1 (en) | 2010-09-10 | 2013-04-02 | Symantec Corporation | Malware detection using file heritage data |
US8869277B2 (en) | 2010-09-30 | 2014-10-21 | Microsoft Corporation | Realtime multiple engine selection and combining |
US9032521B2 (en) * | 2010-10-13 | 2015-05-12 | International Business Machines Corporation | Adaptive cyber-security analytics |
US8413244B1 (en) | 2010-11-11 | 2013-04-02 | Symantec Corporation | Using temporal attributes to detect malware |
WO2012071989A1 (en) | 2010-11-29 | 2012-06-07 | 北京奇虎科技有限公司 | Method and system for program identification based on machine learning |
US8521667B2 (en) | 2010-12-15 | 2013-08-27 | Microsoft Corporation | Detection and categorization of malicious URLs |
US8682812B1 (en) | 2010-12-23 | 2014-03-25 | Narus, Inc. | Machine learning based botnet detection using real-time extracted traffic features |
IL210900A (en) * | 2011-01-27 | 2015-08-31 | Verint Systems Ltd | System and method for efficient classification and processing of network traffic |
US8683585B1 (en) | 2011-02-10 | 2014-03-25 | Symantec Corporation | Using file reputations to identify malicious file sources in real time |
US8756693B2 (en) | 2011-04-05 | 2014-06-17 | The United States Of America As Represented By The Secretary Of The Air Force | Malware target recognition |
US8838992B1 (en) | 2011-04-28 | 2014-09-16 | Trend Micro Incorporated | Identification of normal scripts in computer systems |
US8726388B2 (en) | 2011-05-16 | 2014-05-13 | F-Secure Corporation | Look ahead malware scanning |
US8555388B1 (en) | 2011-05-24 | 2013-10-08 | Palo Alto Networks, Inc. | Heuristic botnet detection |
CN102194072B (en) | 2011-06-03 | 2012-11-14 | 奇智软件(北京)有限公司 | Method, device and system used for handling computer virus |
US8799190B2 (en) | 2011-06-17 | 2014-08-05 | Microsoft Corporation | Graph-based malware classification based on file relationships |
CN102930206B (en) | 2011-08-09 | 2015-02-25 | 腾讯科技(深圳)有限公司 | Cluster partitioning processing method and cluster partitioning processing device for virus files |
US8181247B1 (en) | 2011-08-29 | 2012-05-15 | Kaspersky Lab Zao | System and method for protecting a computer system from the activity of malicious objects |
US8561195B1 (en) | 2012-01-09 | 2013-10-15 | Symantec Corporation | Detection of malicious code based on its use of a folder shortcut |
US8745760B2 (en) | 2012-01-30 | 2014-06-03 | Cisco Technology, Inc. | Malware classification for unknown executable files |
US8627469B1 (en) | 2012-03-14 | 2014-01-07 | Symantec Corporation | Systems and methods for using acquisitional contexts to prevent false-positive malware classifications |
RU2485577C1 (en) | 2012-05-11 | 2013-06-20 | Закрытое акционерное общество "Лаборатория Касперского" | Method of increasing reliability of detecting malicious software |
US9021589B2 (en) | 2012-06-05 | 2015-04-28 | Los Alamos National Security, Llc | Integrating multiple data sources for malware classification |
US9292688B2 (en) * | 2012-09-26 | 2016-03-22 | Northrop Grumman Systems Corporation | System and method for automated machine-learning, zero-day malware detection |
US8826431B2 (en) | 2012-11-20 | 2014-09-02 | Symantec Corporation | Using telemetry to reduce malware definition package size |
TWI461952B (en) | 2012-12-26 | 2014-11-21 | Univ Nat Taiwan Science Tech | Method and system for detecting malware applications |
US9178901B2 (en) | 2013-03-26 | 2015-11-03 | Microsoft Technology Licensing, Llc | Malicious uniform resource locator detection |
-
2015
- 2015-11-16 JP JP2017545854A patent/JP6916112B2/en active Active
- 2015-11-16 WO PCT/US2015/060820 patent/WO2016081346A1/en active Application Filing
- 2015-11-16 US US14/941,999 patent/US9832216B2/en active Active
- 2015-11-16 EP EP15802279.8A patent/EP3222024A1/en active Pending
-
2021
- 2021-07-15 JP JP2021117274A patent/JP7274535B2/en active Active
Patent Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003067399A (en) * | 2001-08-27 | 2003-03-07 | Nec Corp | Method of extracting classified data from audio signal, method of expressing audio signal for mechanical learning, recording medium, and device |
JP2006506853A (en) * | 2002-11-07 | 2006-02-23 | ティッピングポイント テクノロジーズ インコーポレイテッド | Active network defense system and method |
JP2008529105A (en) * | 2004-11-04 | 2008-07-31 | ヴェリセプト コーポレーション | Method, apparatus and system for clustering and classification |
US20070169194A1 (en) * | 2004-12-29 | 2007-07-19 | Church Christopher A | Threat scoring system and method for intrusion detection security networks |
JP2010287135A (en) * | 2009-06-12 | 2010-12-24 | Usho Mo | Data classification device, data classification method and program making computer execute the method |
JP2011044064A (en) * | 2009-08-24 | 2011-03-03 | Nikon Corp | Image processing device and image processing program |
JP2012114719A (en) * | 2010-11-25 | 2012-06-14 | Kddi Corp | Detection device, detection method, and detection program |
JP2014504399A (en) * | 2010-12-01 | 2014-02-20 | ソースファイア インコーポレイテッド | How to detect malicious software using contextual probabilities, generic signatures, and machine learning methods |
WO2013073504A1 (en) * | 2011-11-15 | 2013-05-23 | 独立行政法人科学技術振興機構 | Program analysis/verification service provision system, control method for same, control program, control program for directing computer to function, program analysis/verification device, program analysis/verification tool management device |
US20140304815A1 (en) * | 2011-11-15 | 2014-10-09 | Japan Science And Technology Agency | Program analysis/verification service provision system, control method for same, control program, control program for directing computer to function, program analysis/verification device, program analysis/verification tool management device |
JP2014106856A (en) * | 2012-11-29 | 2014-06-09 | Kyushu Institute Of Technology | Image recognition method and image recognition device |
WO2014122662A1 (en) * | 2013-02-10 | 2014-08-14 | Cyber Active Security Ltd. | Method and product for providing a predictive security product and evaluating existing security products |
JP2016507115A (en) * | 2013-02-10 | 2016-03-07 | サイバー アクティブ セキュリティー エルティーディー. | Methods and products that provide predictive security products and evaluate existing security products |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20200070775A (en) * | 2018-12-10 | 2020-06-18 | 한국전자통신연구원 | Apparatus and method for normalizing security information of heterogeneous systems |
KR102175950B1 (en) * | 2018-12-10 | 2020-11-09 | 한국전자통신연구원 | Apparatus and method for normalizing security information of heterogeneous systems |
Also Published As
Publication number | Publication date |
---|---|
JP2021182412A (en) | 2021-11-25 |
US20160149943A1 (en) | 2016-05-26 |
JP6916112B2 (en) | 2021-08-11 |
EP3222024A1 (en) | 2017-09-27 |
JP7274535B2 (en) | 2023-05-16 |
US9832216B2 (en) | 2017-11-28 |
WO2016081346A1 (en) | 2016-05-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7274535B2 (en) | System and method for network data characterization | |
US10530789B2 (en) | Alerting and tagging using a malware analysis platform for threat intelligence made actionable | |
JP7544738B2 (en) | Detecting Sensitive Data Exposure Through Logging | |
Narayanan et al. | Early detection of cybersecurity threats using collaborative cognition | |
Mahfouz et al. | Ensemble classifiers for network intrusion detection using a novel network attack dataset | |
Razaulla et al. | The age of ransomware: A survey on the evolution, taxonomy, and research directions | |
US10200389B2 (en) | Malware analysis platform for threat intelligence made actionable | |
US10601848B1 (en) | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators | |
Alani | Big data in cybersecurity: a survey of applications and future trends | |
US8413235B1 (en) | Malware detection using file heritage data | |
CN114679329B (en) | System for automatically grouping malware based on artifacts | |
US20180034837A1 (en) | Identifying compromised computing devices in a network | |
JP2017516411A (en) | Cyber security system | |
Hammad et al. | Intrusion detection system using feature selection with clustering and classification machine learning algorithms on the unsw-nb15 dataset | |
Sheeraz et al. | Effective security monitoring using efficient SIEM architecture | |
Suthar et al. | A signature-based botnet (emotet) detection mechanism | |
US20240171614A1 (en) | System and method for internet activity and health forecasting and internet noise analysis | |
Mei et al. | Ransomlens: Understanding ransomware via causality analysis on system provenance graph | |
AlMasri et al. | Towards Generating a Practical SUNBURST Attack Dataset for Network Attack Detection. | |
Alaba et al. | Ransomware attacks on remote learning systems in 21st century: a survey | |
Gandotra et al. | A framework for generating malware threat intelligence | |
Alashhab et al. | Enhancing Cloud Computing Analysis: A CCE-Based HTTP-GET Log Dataset | |
Chary et al. | Evaluating the Effectiveness of Tree-based Machine Learning Classifiers for Cybersecurity Threat Detection | |
Asswad | Analysis of attacks and prevention methods in cybersecurity | |
Pont | Identifying ransomware through statistical and behavioural analysis |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180803 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180803 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20190313 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190507 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20190801 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20191004 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20191106 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200602 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20200901 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20201029 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20201202 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210518 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20210616 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210715 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6916112 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |